Tech Blog

Eine Sicherheitslücke in der Version 4.1.1 des Knockpy-Tools ermöglicht Angreifern das Einschleusen schädlicher Formeln in CSV-Berichten. Durch Manipulation der Server-Antwort-Header können Schadsoftware-Codes in die Tabellen eingebettet werden, die beim Öffnen der Datei ausgeführt werden. Dies stellt ein erhebliches Risiko für Nutzer dar, die die CSV-Dateien ahnungslos öffnen.

In der Version 1.0 des Content-Management-Systems Victor CMS existiert eine kritische Sicherheitslücke, die es authentifizierten Nutzern ermöglicht, potenziell schädliche PHP-Dateien über die Profil-Bild-Upload-Funktion hochzuladen. Dadurch können Angreifer eine PHP-Shell im Verzeichnis "/img" platzieren und so beliebige Systembefehle ausführen. Das stellt eine ernsthafte Bedrohung für die Integrität und Sicherheit des gesamten Systems dar.

Eine Sicherheitslücke in der Version 0.9.8-26 von VestaCP ermöglicht Angreifern, über unzureichende Überprüfung von Sitzungstoken auf Nutzerkonten zuzugreifen, ohne die erforderlichen Administratorrechte zu besitzen. Dies kann zu einem Sicherheitscompromittierung betroffener Systeme führen.

Die Schwachstelle CVE-2020-36951 in der Version 0.1.0 des Phpscript-sgh erlaubt Angreifern, durch manipulierte 'id'-Parameter in der Admin-Oberfläche zeitbasierte SQL-Injection durchzuführen. Dadurch können sensible Daten aus der Datenbank extrahiert werden. Das stellt ein erhebliches Sicherheitsrisiko dar.

Eine kritische Sicherheitslücke in Gila CMS vor Version 2.0.0 ermöglicht es unauthentifizierten Angreifern, durch manipulierte Anfragen an den Admin-Endpunkt beliebigen Schadcode auszuführen. Die Schwachstelle basiert auf einer Schwachstelle in der shell_exec()-Funktion und stellt ein ernsthaftes Risiko für betroffene Installationen dar.

Das Dirsearch-Tool von Maurosoria ist von einer kritischen CSV-Injection-Schwachstelle betroffen (CVE-2021-47901). Angreifer können damit die Ausgabe der generierten CSV-Berichte manipulieren und so die Integrität und Vertraulichkeit der Daten gefährden. Ein Patch ist erforderlich, um diese Sicherheitslücke zu schließen.

Das Testa Online Test Management System version 3.4.7 weist eine kritische SQL-Injektionsschwachstelle auf. Angreifer können über den 'q'-Suchparameter beliebige SQL-Befehle ausführen und so auf sensible Daten zugreifen. Diese Lücke gefährdet die Vertraulichkeit und Integrität des Systems erheblich. Ein Patch ist dringend erforderlich, um das Risiko von Datenmissbrauch zu minimieren.

Eine kritische Schwachstelle (CVE-2025-68670) im Open-Source-RDP-Server xrdp ermöglicht Angreifern die Ausführung von Schadcode ohne Authentifizierung. Das Problem liegt in unzureichenden Pufferüberprüfungen beim Verbindungsaufbau. Obwohl eine Kompilierung mit Stack-Schutz das Risiko mindert, sollte man auf eine Aktualisierung auf Version 0.10.5 oder höher setzen, um den offiziellen Sicherheitspatch zu erhalten.

Eine Sicherheitslücke im Beckhoff Device Manager ermöglicht es Angreifern mit niedrigen Rechten, beliebigen Code auszuführen. Durch präparierte Anfragen an den Webservice oder die API kann es zu Ganzzahlüberlauf-Problemen kommen, die zu einer Codeausführung mit erhöhten Rechten führen können. Betroffen sind Systeme, auf denen der Device Manager installiert ist.

Eine schwerwiegende Sicherheitslücke (CVE-2026-24002, CVSS 9.1) in der Open-Source-Spreadsheet-Datenbank Grist-Core ermöglicht Angreifern die Ausführung von Schadcode über präparierte Kalkulationsformeln. Wer noch mit dieser alten Kiste arbeitet, sollte schnell ein Update einspielen, bevor die Script-Kiddies loslegen.