Tech Blog

Die Open-Source-Projektmanagement-Plattform Vikunja wies in den Versionen 0.18.0 bis 2.2.0 eine Sicherheitslücke auf. Obwohl deaktivierte oder gesperrte Nutzerkonten keine lokale Anmeldung mehr durchführen konnten, ließen sich über API-Tokens, CalDAV-Authentifizierung und OpenID Connect weiterhin Daten synchronisieren. Erst ab Version 2.2.1 wurde dieses Problem behoben.

Der Discord-Bot Anchorr für Medienanfragen weist in Versionen bis 1.4.1 eine kritische XSS-Schwachstelle im Web-Dashboard auf. Dadurch können Angreifer ohne Authentifizierung sämtliche gespeicherten Zugangsdaten wie Token, API-Keys und Passwort-Hashes auslesen. Das Problem wurde in Version 1.4.2 behoben.

Eine schwerwiegende Sicherheitslücke (CVE-2026-28252) in den Trane-Produkten Tracer SC, Tracer SC+ und Tracer Concierge ermöglicht es Angreifern, sich ohne Authentifizierung Rootzugriff auf die Geräte zu verschaffen. Die Ursache ist die Verwendung eines unsicheren kryptografischen Algorithmus. Betroffene Administratoren sollten dringend Sicherheitsupdates installieren, um ihre Systeme vor Kompromittierung zu schützen.

In der aktuellen Version von mlflow/mlflow können Nutzer mit "basic-auth" Trace-Informationen und Assessments einsehen, auch wenn sie dafür keine Berechtigung haben. Dies gefährdet die Vertraulichkeit und Integrität der Daten. Betroffen sind Systeme, die mit "mlflow server --app-name=basic-auth" gestartet werden.

In der E-Commerce-Software WebOfisi E-Ticaret 4.0 wurde eine kritische SQL-Injection-Schwachstelle entdeckt (CVE-2018-25210). Unbefugte Angreifer können damit Datenbankabfragen manipulieren und vertrauliche Informationen auslesen. Ein Patch ist erforderlich, um das Sicherheitsrisiko zu beseitigen.

Eine Schwachstelle im DNS-Lookup-Tool des Netzwerk-Analysators Nsauditor erlaubt lokalen Angreifern die Ausführung von beliebigem Schadcode. Durch einen Pufferüberlauf können Angreifer den Kontrollfluss übernehmen und ihre eigene Schadsoftware starten. Ein Patch ist verfügbar, Anwender sollten Nsauditor umgehend aktualisieren.

Eine kritische Sicherheitslücke im WordPress-Plugin "Smart Slider 3" ermöglicht es Angreifern mit Nutzerrechten ab "Abonnent", beliebige Dateien auf dem Server auszulesen, darunter sensible Informationen wie Datenbank-Zugangsdaten. Betroffen sind über 800.000 WordPress-Websites. Der Hersteller hat das Problem in Version 3.5.1.34 behoben.

Eine hochgefährliche SQL-Injection-Schwachstelle (CVE-2026-23921) in der Zabbix-API ermöglicht es Angreifern, die Kontrolle über das Netzwerküberwachungssystem zu erlangen. Sysadmins sollten dringend ein Sicherheitsupdate einspielen, um ihre Infrastruktur vor Kompromittierung zu schützen.

Hacker nutzen aktuell eine kritische Sicherheitslücke (CVE-2025-6584) im Kali Forms WordPress Plugin aus, die Remote-Code-Execution ermöglicht. Betroffen sind WordPress-Websites, die dieses Plugin einsetzen. Admins sollten dringend ein Update installieren, um ihre Systeme vor Kompromittierung zu schützen.

Das Masteriyo LMS Plugin für WordPress weist eine Schwachstelle auf, die es authentifizierten Nutzern mit Student-Zugriff oder höher ermöglicht, ihre Berechtigungen zu erhöhen. Der Fehler liegt in der unzureichenden Überprüfung von Benutzerrechten in der Funktion "InstructorsController::prepare_object_for_database". Angreifer können so ihre Rechte bis hin zum Admin-Zugriff ausweiten. Für WordPress-Websites, die das betroffene Plugin nutzen, besteht erhebliches Sicherheitsrisiko.