Tech Blog

Eine Sicherheitslücke mit der CVE-ID CVE-2025-54957 wurde in Dolby UDC 4.5 bis 4.13 entdeckt. Ein Absturz des DD+-Decoder-Prozesses kann auftreten, wenn ein manipulierter DD+-Datenstrom verarbeitet wird. Ein Puffer-Überlauf durch Ganzzahl-Überlauf kann zu einem Out-of-Bounds-Schreiben führen, was kritische Konsequenzen haben kann. Anwender sollten dringend ein Update auf eine Dolby UDC-Version installieren, die den Fehler behebt.

Eine lokal ausnutzbare Sicherheitslücke in der Epic Games Store-Installation über den Microsoft Store ermöglicht es einem Nutzer mit geringen Rechten, durch das Ersetzen einer DLL-Datei unbeabsichtigte Rechteausweitung zu erlangen. Die Schwachstelle mit der CVE-ID CVE-2025-61973 weist eine Bewertung von 8.8 auf der CVSS-Skala auf.

Eine Schwachstelle in den Netzwerkkameras der TRIFORA 3-Serie von TOA Corporation ermöglicht es Nutzern mit Monitorrechten, beliebige Systembefehle auszuführen. Dieses OS-Command-Injection-Problem gefährdet die Sicherheit der Überwachungssysteme und muss dringend gepatcht werden.

Das WordPress-Plugin "Membership Plugin – Restrict Content" ist in allen Versionen bis einschließlich 3.2.16 durch eine fehlende Authentifizierung verwundbar. Unbefugte Angreifer können so Stripe SetupIntent client_secret-Werte für jede Mitgliedschaft auslesen.

Eine kritische Sicherheitslücke mit CVE-2025-43023 wurde in der HP Linux Imaging und Printing Software-Dokumentation entdeckt. Das Problem liegt in der Verwendung eines schwachen Code-Signing-Schlüssels, des Digital Signature Algorithm (DSA). Dieses Leck ermöglicht potenziell die Ausführung von Schadcode mit hohen Privilegien. Administratoren sollten umgehend die Herstellerupdates installieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke im Uniffle HTTP-Client erlaubt Angreifern, den Datenverkehr zwischen CLI/Client und Uniffle Coordinator-Dienst abzuhören. Der Client vertraut standardmäßig allen SSL-Zertifikaten und deaktiviert die Überprüfung des Hostnamen, was Männer-in-der-Mitte-Attacken (MITM) ermöglicht. Das Problem betrifft alle Versionen vor 0.10.0. Anwender sollten dringend auf die Version 0.10.0 aktualisieren, die den Fehler behebt.

Die angeblich hochkritische CVE-2022-50911 Schwachstelle mit einem CVSS-Score von 8.8 hat sich nach genauerer Prüfung als Fehlalarm entpuppt. Die zuständige Behörde hat den Eintrag daraufhin zurückgezogen, da es sich doch nicht um ein Sicherheitsproblem handelte. Admins können also erstmal durchatmen und müssen hier keine Gegenmaßnahmen ergreifen.

Eine kritische Schwachstelle in älteren Versionen von Apache Struts erlaubt das Umgehen der XML-Validierung. Dies kann Angreifer zur Ausführung von Schadcode auf betroffenen Systemen befähigen. Betroffen sind Struts-Versionen von 2.0.0 bis 6.1.0. Nutzer werden dringend empfohlen, auf Version 6.1.1 zu aktualisieren, um das Problem zu beheben.

In älteren Versionen von ConnectWise PSA können Zeiterfassungsnotizen unzureichend escaped werden, was unter bestimmten Bedingungen das Ausführen von Skriptcode im Browser-Kontext des Nutzers ermöglicht. Betroffen sind Versionen vor 2026.1. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Eine Schwachstelle in der Poly Lens Desktop-Anwendung für Windows ermöglicht es Angreifern, das Dateisystem zu manipulieren und so Systemrechte zu erlangen. Administratoren sollten dringend ein Update installieren, sobald es verfügbar ist, um ihre Systeme vor dieser kritischen Sicherheitslücke mit CVSS-Score 9.8 zu schützen.