Tech Blog

In älteren Versionen von SandboxJS, einer JavaScript-Sandbox-Bibliothek, wurde die `AsyncFunction`-Konstruktion nicht korrekt isoliert. Dadurch konnten Angreifer die Sandbox umgehen und Remote-Code-Execution auf dem Zielsystem ausführen. Glücklicherweise wurde die Lücke in Version 0.8.26 behoben. Sysadmins sollten dringend auf diese Patchversion aktualisieren, um ihre Systeme vor dieser kritischen Sicherheitslücke zu schützen.

In Grafana Enterprise, einer Open-Source-Plattform für Monitoring und Beobachtbarkeit, wurde eine kritische Sicherheitslücke (CVE-2022-24812) entdeckt. Bei aktivierter feingranularer Zugangskontrolle können Angreifer durch geschickte API-Schlüssel-Verwendung ihre Berechtigungen unrechtmäßig ausweiten. Der Patch ist dringend empfohlen, alternativ kann die Deaktivierung der feingranularen Zugangskontrolle das Problem umgehen.

In der SolarWinds Web Help Desk-Software wurde eine kritische Sicherheitslücke entdeckt, die eine unautorisierte Remotecodeausführung ermöglicht. Angreifer können dadurch ohne Authentifizierung Befehle auf dem betroffenen System ausführen. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen und Systeme vor Missbrauch zu schützen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-40553, CVE-2025-40552, CVE-2025-40536).

Eine kritische Sicherheitslücke im WordPress-Plugin "Snow Monkey Forms" ermöglicht es unbefugten Angreifern, willkürlich Dateien auf dem Server zu löschen. Dies kann zu Remote-Code-Execution führen, wenn beispielsweise die wp-config.php-Datei gelöscht wird. Betroffen sind alle Versionen bis einschließlich 12.0.3. Ein Patch ist dringend erforderlich, um die Sicherheit der WordPress-Installationen zu gewährleisten.

Die Sicherheitslücke CVE-2021-47902 mit einem Schweregrad von 8.2 "Hoch" betrifft das Testa Online Test Management System 3.4.7. Angreifer können durch manipulierte Suchanfragen über den 'q'-Parameter SQL-Injections durchführen und so möglicherweise auf sensible Nutzer- oder Systemdaten zugreifen. Ein Patch ist verfügbar, den Admins zeitnah einspielen sollten, um ihre Systeme zu schützen.

Die Schwachstelle CVE-2025-69038 in der Hyori-Version <= 1.3.6 des WordPress-Plugins "goalthemes Hyori" ermöglicht lokale Dateieinbindung. Angreifer können damit potenziell beliebigen PHP-Code ausführen. Ein Patch ist verfügbar, Sysadmins sollten das Plugin umgehend aktualisieren.

Eine Schwachstelle in dem PHP-Framework "Vango" ermöglicht es Angreifern, lokal gespeicherte Dateien einzubinden. Dies kann zu einer Remote-Code-Ausführung führen. Betroffen sind alle Versionen bis einschließlich 1.3.3. Ein Patch ist bislang nicht verfügbar, Admins sollten das Framework umgehend aktualisieren oder deaktivieren, bis eine Lösung vorliegt.

Eine Schwachstelle im WordPress-Plugin "Nelio AB Testing" erlaubt es Angreifern, willkürlichen Code auf betroffenen Systemen auszuführen (CVE-2025-67944). Das Plugin ist von Version n/a bis einschließlich 8.1.8 betroffen. Nutzer sollten das Plugin umgehend auf die neueste, gepatcht Version aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

Eine kritische SQL-Injection-Schwachstelle in der MailerLite-WooCommerce-Integration ermöglicht es Angreifern, beliebigen SQL-Code auszuführen. Das betrifft Versionen von n/a bis einschließlich 3.1.2. Admins sollten dringend auf die neueste Version updaten, um die Sicherheitslücke zu schließen.

In der Version 4.13 des Easy CD & DVD Cover Creators findet sich eine Pufferüberlauf-Schwachstelle im Seriennummerfeld. Angreifer können damit eine 6000-Byte-Payload einspielen, die zum Absturz der Anwendung führt. Diese Denial-of-Service-Lücke kann die normale Nutzung der Software empfindlich stören.