Tech Blog

In der Chevereto-Software Version 3.13.4 wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, durch Manipulation des Datenbankpräfixes beliebigen Code auf dem System auszuführen. Betreiber sollten umgehend auf eine aktuellere Version updaten, um ihre Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle im MSHTML-Framework von Microsoft ermöglicht es Angreifern, über ein Netzwerk eine Sicherheitsmaßnahme zu umgehen. Mit einem Schweregrad von 8.8 ist dies als hochkritisch einzustufen. Sysadmins sollten umgehend Patches von Microsoft installieren, um ihre Systeme vor unbefugtem Zugriff zu schützen.

Eine kritische Sicherheitslücke im Farktor E-Commerce Paket ermöglicht Cross-Site-Scripting-Angriffe (XSS). Die Schwachstelle betrifft alle Versionen bis zum 27.11.2025 und kann von Angreifern ausgenutzt werden, um bösartigen Code auf betroffenen Websites auszuführen. Administratoren sollten das E-Commerce Paket umgehend auf die neueste Version aktualisieren, um diese Schwachstelle zu schließen.

In der PostgreSQL-Erweiterung "intarray" existiert eine Schwachstelle, die es Angreifern ermöglicht, willkürlichen Code als Betriebssystemnutzer auszuführen. Betroffen sind PostgreSQL-Versionen vor 18.2, 17.8, 16.12, 15.16 und 14.21. Ein Patch ist erforderlich, um die Lücke zu schließen.

Eine schwerwiegende Schwachstelle im PostgreSQL-Krypto-Modul "pgcrypto" ermöglicht Angreifern die Ausführung von beliebigem Code auf dem Betriebssystem des Datenbankservers. Betroffen sind PostgreSQL-Versionen vor 18.2, 17.8, 16.12, 15.16 und 14.21. Zeit, die Patches zu installieren, bevor die Hacker zuschlagen.

Das WordPress-Plugin "Prime Listing Manager" bis Version 1.1 erlaubt Angreifern den Zugriff auf Administratorrechte ohne Authentifizierung. Eine gehärtete Geheimzahl ermöglicht es Unbefugten, beliebige Aktionen auf der betroffenen Website auszuführen. Betreiber sollten das Plugin umgehend aktualisieren, um Schäden durch Kompromittierung zu verhindern.

Eine schwerwiegende Sicherheitslücke in der Windows Notepad App ermöglicht es Angreifern, über ein Netzwerk beliebigen Code auszuführen. Die Schwachstelle betrifft die unsachgemäße Neutralisierung von Sonderzeichen in Befehlen, was eine Befehlseinschleusung erlaubt. Sysadmins sollten dringend ein Sicherheitsupdate für Notepad installieren, sobald dieses verfügbar ist.

Eine Schwachstelle in der Zertifikatsvalidierung von Azure Local ermöglicht es Angreifern, ohne Autorisierung Schadcode über ein Netzwerk auszuführen. Betroffen sind Azure-Umgebungen, die diese Komponente verwenden. Admins sollten umgehend nach einem Patch suchen und die Systeme bis dahin isolieren.

Eine schwerwiegende Sicherheitslücke in der Lernplattform GUnet OpenEclass 1.7.3 ermöglicht es authentifizierten Nutzern, Dateibeschränkungen zu umgehen und Schadcode hochzuladen. Durch Umbenennung einer PHP-Datei können Angreifer so beliebigen Code auf dem Server ausführen. Dieses kritische Sicherheitsproblem im Datei-Upload-Feature ist mit einer Bewertung von 8.8 "High" eingestuft.

Eine kritische Sicherheitslücke in dem ZLAN5143D-Gerät von ZLMCU ermöglicht es Angreifern, die Authentifizierung zu umgehen und direkt auf interne URLs zuzugreifen. Dies kann zu Datenlecks und Kompromittierung der Systemsicherheit führen. Anwender sollten dringend die nötigen Aktualisierungen installieren, um dieses Risiko zu mindern. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-1729, CVE-2026-25084, CVE-2026-25084).