Tech Blog

Eine Schwachstelle in Altiums AES-Produkt ermöglicht Angreifern die Injektion von bösartigem SQL-Code. Dies kann zur Kompromittierung der Datenbankintegrität und -vertraulichkeit führen. Die Ursache ist eine fehlerhafte Konfiguration, die die neueste SQL-Parsing-Logik nicht aktiviert. Durch die Anwendung der korrekten SQL-Parsing-Mechanismen kann dieses Sicherheitsrisiko behoben werden.

Eine kritische Sicherheitslücke mit CVSS-Bewertung 9.8 in der Academy-Lernplattform wurde entdeckt. Die Schwachstelle ermöglicht es Angreifern, die volle Kontrolle über das System zu erlangen. Administratoren werden dringend empfohlen, das betroffene System umgehend zu patchen, sobald ein Sicherheitsupdate verfügbar ist.

Sicherheitsforscher haben eine kritische Remote-Code-Execution-Lücke (CVE-2026-20045) in Cisco-Produkten entdeckt, die bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen auszuführen. Cisco hat bereits einen Patch veröffentlicht, der die Lücke schließt. Administratoren sollten ihre Cisco-Geräte schnellstmöglich aktualisieren, um sich vor Angriffen zu schützen.

Eine kritische Sicherheitslücke im Horilla HRMS erlaubt es böswilligen Nutzern, Phishing-Attacken durchzuführen. Durch das Hochladen einer manipulierten HTML-Datei als Profilbild können Angreifer eine täuschend echte Anmeldeseite erstellen, die Nutzerdaten stiehlt. Horilla hat das Problem in Version 1.5.0 behoben. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-24010, CVE-2026-24038).

Eine kritische Sicherheitslücke in der Spreadsheet-Software Grist ermöglicht Angreifern die Ausführung von beliebigem Code auf dem Server. Das Problem betrifft Installationen, bei denen der `GRIST_SANDBOX_FLAVOR` auf `pyodide` gesetzt ist. Ein Patch ist in Version 1.7.9 verfügbar, alternativ kann der sicherere `gvisor`-Sandbox-Modus verwendet werden.

In der JavaScript-Bibliothek sm-crypto, die die chinesischen Krypto-Algorithmen SM2, SM3 und SM4 implementiert, wurde eine schwerwiegende Sicherheitslücke in der SM2-Entschlüsselung entdeckt. Angreifer können durch wiederholte Interaktionen mit der Entschlüsselungsschnittstelle den privaten Schlüssel in nur wenigen hundert Versuchen vollständig auslesen. Die Schwachstelle wurde in Version 0.3.14 behoben.

Eine Sicherheitslücke in der weit verbreiteten XML-Bibliothek libxml2 ermöglicht es Angreifern, durch präparierte XML-Dateien einen Absturz oder andere undefinierte Verhaltensweisen zu verursachen. Betroffen ist die Verarbeitung bestimmter sch:name-Elemente, was zu Speicherkorrumpierung führt. Ein Patch ist erforderlich, um die Schwachstelle CVE-2025-49796 mit einer Bewertung von 9.1 zu schließen.

Eine kritische Use-After-Free-Schwachstelle mit der CVE-ID CVE-2025-49794 wurde in der Bibliothek libxml2 entdeckt. Durch eine fehlerhafte Verarbeitung von XPath-Elementen in Verbindung mit XML-Schematrons kann ein Angreifer einen Absturz oder undefiniertes Verhalten des betroffenen Programms herbeiführen. Anwender sollten umgehend ein Update auf eine gepatche Version von libxml2 installieren, um die Sicherheitslücke zu schließen.

In den Versionen 1.94 und älter von Appsmith, einer Plattform zum Erstellen von Admin-Panels und internen Tools, können unauthentifizierte Nutzer durch Manipulation des "viewMode"-Parameters unbegrenzt auf unveröffentlichte Funktionen zugreifen. Dies führt zu Datenlecks, Ausführung von Edit-Modus-Abfragen und der Auslösung von Nebeneffekten. Zum Zeitpunkt der Veröffentlichung existiert noch keine offizielle Lösung für dieses kritische Sicherheitsproblem.

Eine schwerwiegende Sicherheitslücke in der Rechnungssoftware InvoicePlane bis Version 1.6.3 ermöglicht es autorisierten Angreifern, beliebige PHP-Dateien hochzuladen und remote auszuführen. Dies führt zu einer vollständigen Übernahme der betroffenen Systeme (Remote Code Execution). Nutzer sollten dringend auf die neueste Version aktualisieren, sobald ein Patch verfügbar ist.