Tech Blog

Teampass-Versionen vor 3.1.5.16 sind anfällig für eine gespeicherte Cross-Site-Scripting-Schwachstelle (XSS). Dabei können Angreifer über die Passwort-Import-Funktion bösartigen JavaScript-Code in der Datenbank speichern. Wenn Nutzer später auf die importierten Passwörter zugreifen, wird der Code ausgeführt, was zu Session-Entführung, Credential-Diebstahl und Integritätsverlusten führen kann. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Eine kritische Schwachstelle mit der Kennung CVE-2025-5071 wurde in der KI-Engine von WordPress entdeckt. Die Lücke ermöglicht Abonnenten das Übernehmen von Konten mit Administratorrechten. Ohne Patch ist das System für Angreifer ein leichtes Ziel. Admins sollten dringend Maßnahmen ergreifen, um ihre WordPress-Installationen vor dieser Bedrohung zu schützen.

Eine kritische Sicherheitslücke in der Verwaltungsfunktionalität des CI4MS-CMS, das auf CodeIgniter 4 basiert, ermöglicht es Angreifern, bösartigen JavaScript-Code in verschiedenen Eingabefeldern zu speichern. Wenn dieser Code in den Admin-Oberflächen oder globalen Navigationskomponenten dargestellt wird, wird er ohne korrekte Ausgabekodierung ausgeführt, was zu gespeicherten DOM-basierten Cross-Site-Scripting-Angriffen führt. Nutzer werden dringend empfohlen, auf Version 0.31.0.0 oder höher zu aktualisieren, um dieses Sicherheitsrisiko zu beheben.

Eine Schwachstelle in der OpenID Connect-Implementierung der Open-Source-E-Learning-Plattform OpenOLAT ermöglicht unbefugten Zugriff. Betroffen sind Versionen von 10.5.4 bis vor 20.2.5, da hier die Überprüfung von JSON Web Token-Signaturen unzureichend ist. Dies kann zu Datenlecks führen. Das Problem wurde in Version 20.2.5 behoben.

Eine kritische SQL-Injection-Schwachstelle in der Datei /admin/ajax.php?action=login2 des SourceCodester Simple Doctors Appointment System 1.0 ermöglicht Angreifern den Zugriff auf die Datenbank. Der Exploit ist bereits veröffentlicht und kann ferngesteuert ausgenutzt werden. Admins sollten das System schnellstmöglich aktualisieren, um Schäden zu verhindern.

Eine schwerwiegende Sicherheitslücke (CVE-2026-34714) in Vim vor Version 9.2.0272 ermöglicht die Ausführung von beliebigem Schadcode, sobald eine präparierte Datei geöffnet wird. Der Fehler liegt in der mangelhaften Überprüfung von %{expr}-Injektion in Tabblättern. Nutzer sollten Vim umgehend auf die neueste Version aktualisieren, um sich vor dieser kritischen Schwachstelle zu schützen.

Eine schwerwiegende Sicherheitslücke in der mlflow-Bibliothek ermöglicht es Angreifern, durch manipulierte Archiv-Dateien willkürliche Dateien auf dem System zu überschreiben und möglicherweise erhöhte Rechte zu erlangen. Betroffen sind Versionen vor v3.7.0. Administratoren sollten dringend auf die aktuellste Version updaten, um ihre Systeme vor Ausnutzung dieser kritischen Lücke zu schützen.

Eine Sicherheitslücke im Gigabyte Control Center ermöglicht es böswilligen Akteuren, ohne Authentifizierung beliebige Dateien auf dem System zu manipulieren. Dies kann zu Schadcode-Ausführung oder Eskalation von Berechtigungen führen. Betroffene Nutzer sollten dringend ein Software-Update installieren, um die Schwachstelle zu schließen.

In NetScaler ADC und NetScaler Gateway, wenn sie als SAML-IDP konfiguriert sind, führt eine unzureichende Eingabevalidierung zu einem Memory-Overread. Dadurch können Angreifer möglicherweise Systemressourcen auslesen. Betroffene Administratoren sollten umgehend die Herstellerempfehlungen befolgen und das System aktualisieren, um die Schwachstelle zu schließen.

In der Anon Proxy Server v0.104 wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, bösartigen JavaScript-Code im Browser des Opfers auszuführen. Dies kann zum Diebstahl sensibler Daten wie Sitzungscookies oder zur Ausführung von Aktionen im Namen des Nutzers missbraucht werden. Die Schwachstelle betrifft den 'host'-Parameter im '/diagdns.php'-Endpunkt. Administratoren sollten dringend ein Update auf eine nicht betroffene Version durchführen, um ihre Systeme zu schützen.