Tech Blog

Eine kritische Sicherheitslücke in Restajet's Online-Lieferdienst ermöglicht die Ausbeutung des Password-Recovery-Mechanismus. Betroffen sind alle Versionen bis 19.12.2025. Der Hersteller reagierte auf die Offenlegung nicht. Systemadministratoren sollten dringend nach Updates Ausschau halten und die Zugangssicherheit überprüfen.

Eine Sicherheitslücke mit hoher Gefährdungsstufe wurde in UTT HiPER 1250GW Routern bis Version 3.2.7-210907-180535 entdeckt. Die Schwachstelle betrifft eine Funktion, die für Pufferüberlauf anfällig ist. Der Angriff kann aus der Ferne erfolgen, da die Schwachstelle öffentlich bekannt ist und ausgenutzt werden kann.

Eine kritische Schwachstelle in River Past Cam Do 3.7.6 ermöglicht es lokalen Angreifern, durch Eingabe eines manipulierten Aktivierungscodes willkürlichen Code auszuführen. Entwickler sollten dringend ein Update auf eine nicht betroffene Version bereitstellen, um Systeme vor dieser Sicherheitslücke zu schützen.

Eine Schwachstelle in der Keycloak-Implementierung des SAML-Brokers erlaubt es Angreifern, auch deaktivierte SAML-Clients zur Single-Sign-On-Anmeldung zu missbrauchen. Dadurch können sie sich ohne erneute Authentifizierung Zugriff auf andere aktivierte Clients verschaffen und die Sicherheitsmaßnahmen umgehen.

Eine kritische Sicherheitslücke in der Open-Source-Monitoring-Plattform OneUptime ermöglicht es einem Nutzer mit eingeschränkten Rechten, über die Ausführung von Playwright-Skripten in Synthetic Monitors beliebigen Schadcode auf dem Probe-Host auszuführen. Der Patch in Version 10.0.35 behebt dieses Problem.

Eine kritische Schwachstelle im Kiddy-Plugin für PHP ermöglicht es Angreifern, lokal Dateien einzubinden. Das Kiddy-Plugin ist von Version n/a bis 2.0.8 betroffen. Die Verwundbarkeit wurde mit einer Bewertung von 8.1 als "Hoch" eingestuft. Administratoren sollten das Plugin umgehend auf die neueste Version aktualisieren, um ihre Systeme vor möglichen Angriffen zu schützen.

Die Open-Source-Software pyLoad, ein Download-Manager für Python, wies bis Version 0.5.0b3.dev97 eine kritische Sicherheitslücke auf. Angreifer konnten durch eine Pfad-Traversal-Schwachstelle während der Passwortüberprüfung für verschlüsselte 7z-Archive beliebige Dateien außerhalb des Extraktionsverzeichnisses löschen. Der Patch in Version 0.5.0b3.dev97 behebt dieses Problem.

Eine Sicherheitslücke in der DHCP-Snooping-Funktion der Cisco IOS XE-Software kann es einem unauthentifizierten Angreifer ermöglichen, BOOTP-Pakete zwischen VLANs weiterzuleiten, was zu einem Denial-of-Service-Zustand führt. Cisco hat Softwareupdates veröffentlicht, um diese Schwachstelle zu beheben. Es gibt auch Workarounds, die dieses Problem adressieren.

NVIDIA hat eine kritische Sicherheitslücke in seiner Apex-Bibliothek behoben, die es Angreifern ermöglicht, willkürlichen Code auszuführen. Die Schwachstelle (CVE-2025-33244) betrifft die KI-Infrastruktur und muss dringend gepatcht werden, um Systeme vor Kompromittierung zu schützen.

Eine kritische Schwachstelle mit der CVE-ID CVE-2026-2072 wurde in den Hitachi-Produkten Infrastructure Analytics Advisor und Ops Center Analyzer entdeckt. Die Lücke ermöglicht Cross-Site-Scripting-Angriffe und kann von Angreifern ausgenutzt werden, um bösartigen Code auf betroffenen Systemen auszuführen. Anwender sollten schnellstmöglich die bereitgestellten Patches installieren, um ihre Systeme vor Missbrauch zu schützen.