Tech Blog

In der Version 1.0 des Simple Laundry System wurde eine kritische SQL-Injection-Schwachstelle in der Datei "/modifymember.php" entdeckt. Durch Manipulation des Argumentes "firstName" können Angreifer die Datenbank angreifen und Zugriff auf sensible Informationen erlangen. Der Exploit ist bereits öffentlich bekannt und kann daher jederzeit missbraucht werden. Systemadministratoren sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor diesem Angriff zu schützen.

Eine kritische Sicherheitslücke in der Firmware von UTT HiPER 1250GW Routern ermöglicht Angreifern das Ausführen von beliebigem Code. Die Schwachstelle betrifft Versionen bis 3.2.7-210907-180535 und kann über eine manipulierte Funktion in der Web-Oberfläche ausgenutzt werden. Bereits veröffentlichte Exploits machen diesen Fehler für Angreifer nutzbar. Betroffene Administratoren sollten dringend ein Firmware-Update installieren, sobald es vom Hersteller bereitgestellt wird.

In Tenda AC10-Routern wurde eine schwerwiegende Schwachstelle entdeckt, die zu einem Pufferüberlauf führen kann. Angreifer können das Problem remote ausnutzen und möglicherweise die volle Kontrolle über betroffene Geräte erlangen. Ein Patch ist dringend erforderlich, um das Risiko zu minimieren.

Eine Sicherheitslücke in den Hirschmann HiOS und HiSecOS Produkten ermöglicht es Angreifern, sich ohne gültige Zugangsdaten als Administrator anzumelden. Durch manipulierte HTTP-Anfragen können Angreifer die fehlerhafte Authentifizierung ausnutzen und so die Kontrolle über die betroffenen Systeme erlangen. Dieses kritische Problem unterminiert die Sicherheit der Systeme.

ProSoft-Gateways der Baureihe ICX35-HWC wiesen bis Version 1.3 eine kritische Schwachstelle in der Eingabevalidierung auf. Angreifer konnten darüber beliebige Systemkommandos ausführen und so die volle Kontrolle über die Geräte erlangen. Die Lücke, bekannt als CVE-2017-20236, ermöglichte Fernzugriff mit Administratorrechten und stellte damit ein erhebliches Sicherheitsrisiko dar. Betroffene Anwender sollten dringend auf die aktualisierte Version 1.3 oder höher umsteigen.

Eine kritische Sicherheitslücke in Fortinet FortiClientEMS 7.4.5 bis 7.4.6 erlaubt es unauthentifizierten Angreifern, beliebigen Code auszuführen. Entwickler sollten umgehend auf die neueste Version aktualisieren, um Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle in Electron, einem Framework für plattformübergreifende Desktop-Anwendungen, ermöglicht Angreifern den Zugriff auf Node.js-APIs in isolierten Kontexten. Das Problem betrifft Versionen von 39.0.0-alpha.1 bis vor 39.8.0, 40.0.0-alpha.1 bis vor 40.7.0 und 41.0.0-alpha.1 bis vor 41.0.0-beta.8. Apps, die VideoFrame-Objekte über die contextBridge übergeben, sind anfällig. Entwickler müssen auf die korrigierten Versionen 39.8.0, 40.7.0 und 41.0.0-beta.8 oder höher aktualisieren.

Eine kritische Sicherheitslücke (CVE-2026-34520) mit Bewertung 9.1 wurde in der asynchronen HTTP-Bibliothek AIOHTTP vor Version 3.13.4 entdeckt. Der C-Parser akzeptierte dabei Nullbytes und Steuerzeichen in Antwort-Headern, was Angreifer ausnutzen konnten. Zum Glück wurde das Problem in Version 3.13.4 behoben, also lasst euch von diesem Mist nicht erwischen!

Eine kritische Sicherheitslücke im WordPress-Plugin "WCFM – Frontend Manager for WooCommerce" erlaubt es Angreifern mit Vendorzugriff, den Status von Bestellungen zu ändern sowie Artikel, Produkte und Seiten zu löschen oder zu modifizieren, unabhängig vom Besitzer. Die Schwachstelle betrifft alle Versionen bis einschließlich 6.7.25 und resultiert aus fehlender Validierung von Nutzer-Eingaben.

Das WordPress-Plugin wpForo Forum weist eine Sicherheitslücke auf, die es authentifizierten Angreifern mit Subscriber-Rechoder höher ermöglicht, beliebige Dateien auf dem Server zu löschen. Dies ist auf fehlende Überprüfung von Dateinamen/Pfaden gegen Pfadtraversals-Sequenzen zurückzuführen. Betroffen sind alle Versionen bis einschließlich 2.4.16. Administratoren sollten das Plugin umgehend auf die neueste Version aktualisieren.