Tech Blog

Eine kritische Sicherheitslücke in der Video-Download-App MyTube ermöglicht es unauthentifizierten Nutzern, Zugriff auf sensible Einstellungen und Daten zu erlangen. Das Problem liegt in der unzureichenden Überprüfung von Benutzerauthentifizierung. Nutzer mit aktivierter Anmeldung sind betroffen und sollten dringend auf Version v1.7.66 aktualisieren, die den Fehler behebt. Alternativ können Firewalls oder Reverse-Proxys als Workaround eingesetzt werden, um den Zugriff auf die betroffenen Schnittstellen einzuschränken.

In der Python-Bibliothek jaraco.context wurde eine kritische Pfadtraversal-Schwachstelle entdeckt. Angreifer können durch präparierte Tar-Archive Dateien außerhalb des vorgesehenen Extraktionsverzeichnisses extrahieren. Der Patch in Version 6.1.0 behebt dieses Problem.

Eine schwerwiegende Sicherheitslücke in ImageMagick, der beliebten Open-Source-Software zum Bearbeiten und Manipulieren digitaler Bilder, ermöglicht Angreifern die Ausführung von Code durch das Verarbeiten präparierter Bilddateien. Die Schwachstelle betrifft die Versionen 7.1.2-13 und 6.9.13-38 und sollte dringend behoben werden.

Das WordPress-Plugin "Dokan: AI Powered WooCommerce Multivendor Marketplace Solution" weist eine kritische Sicherheitslücke (CVE-2025-14977) auf, die es Angreifern ermöglicht, auf vertrauliche Zahlungsinformationen und Kontaktdaten anderer Verkäufer zuzugreifen und diese zu manipulieren. Dies kann zu Identitätsdiebstahl und finanziellen Verlusten führen. Ein Patch ist dringend erforderlich. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14977, CVE-2025-14533).

Eine Use-after-free-Lücke in der ANGLE-Bibliothek von Google Chrome erlaubt es Angreifern, durch präparierte HTML-Seiten potenziell Heap-Korruption auszunutzen. Die Schwachstelle betrifft Chrome-Versionen vor 144.0.7559.59 und wird von Google als "Low" eingestuft. Ein Patch ist verfügbar, Anwender sollten ihr Chrome-Browser zeitnah aktualisieren. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0908, CVE-2026-0907, CVE-2026-0906, CVE-2026-0902).

Eine kritische Sicherheitslücke in der V8-Engine von Google Chrome erlaubte es Angreifern, durch manipulierte HTML-Seiten die Objektintegrität zu kompromittieren. Betroffen sind Chrome-Versionen vor 144.0.7559.59. Ein Patch ist dringend empfohlen, um Remotecodeausführung durch Cyberkriminelle zu verhindern.

Eine kritische Sicherheitslücke in Googles Chrome-Browser (CVE-2026-0899) ermöglichte Angreifern die Ausführung von Code außerhalb des vorgesehenen Speichers. Betroffen waren Chrome-Versionen vor 144.0.7559.59. Ein Patch ist verfügbar, Nutzer sollten ihre Browser schnellstmöglich aktualisieren, um Angriffen vorzubeugen.

Der PrismX MX100 AP-Controller von BROWAN COMMUNICATIONS weist eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-1221 auf. Angreifer können sich ohne Authentifizierung in die Datenbank einloggen, da die Zugangsdaten fest im Firmware-Code eingebaut sind. Dies ermöglicht potenziell den unautorisierten Zugriff auf sensible Informationen.

Eine schwerwiegende Schwachstelle in der Open-Source-Sicherheitsplattform reNgine 2.2.0 ermöglicht es Angreifern, durch Manipulation des "nmap_cmd"-Parameters beliebigen Code auf betroffenen Systemen auszuführen. Die Schwachstelle mit der Kennung CVE-2024-58287 hat eine Bewertung von 8.8 (Hoch) und sollte dringend behoben werden. Bis ein Patch verfügbar ist, empfiehlt es sich, die Verwendung von reNgine 2.2.0 zu vermeiden oder die Anwendung manuell zu überprüfen.

Die Sicherheitslücke CVE-2026-22852 mit einem kritischen CVSS-Score von 9.8 betrifft den FreeRDP-Client. Ein böswilliger RDP-Server kann einen Heap-Puffer-Überlauf auslösen, wenn der Client Audio-Eingabe-Formate verarbeitet. Das führt zu Speicherbeschädigung und Abstürzen. Der Patch in Version 3.20.1 behebt dieses Problem. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22852, CVE-2026-22855, CVE-2026-22856, CVE-2026-22858).