Tech Blog

In Firefox < 149 und Firefox ESR < 140.9 wurde eine kritische Use-after-free-Schwachstelle im Widget: Cocoa-Komponenten entdeckt. Angreifer können diese Lücke ausnutzen, um nach der Freigabe des Speichers weiterhin darauf zuzugreifen und möglicherweise die Kontrolle über das System zu erlangen. Betroffene Nutzer sollten Firefox umgehend auf die neueste Version aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

In älteren Versionen von SuiteCRM, einer Open-Source-CRM-Software, enthält die `retrieve()`-Funktion eine Sicherheitslücke, die es Angreifern ermöglicht, SQL-Injection-Angriffe durchzuführen. Betroffen sind die Versionen 7.15 und 8.9 vor den Patches 7.15.1 und 8.9.3. Durch die Lücke können Angreifer sensible Informationen wie Nutzerkonten und Passwort-Hashes auslesen. Die Entwickler haben die Schwachstelle behoben, Anwender sollten dringend auf die aktuellen Versionen aktualisieren.

Das Vitals ESP-Tool von Galaxy Software Services weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, ihre Rechte zu eskalieren. Authentifizierte Nutzer können dadurch administrative Funktionen ausführen, obwohl dies nicht vorgesehen ist. Betroffene Unternehmen sollten umgehend einen Patch des Herstellers installieren, um das Risiko einer Kompromittierung zu minimieren.

Eine Sicherheitslücke in der NGINX-Webserver-Software kann Angreifern ermöglichen, einen Puffer-Überlauf auszulösen und den NGINX-Worker-Prozess zu beenden oder Dateinamen außerhalb des Dokumenten-Rootverzeichnisses zu manipulieren. Das Problem betrifft NGINX Open Source und NGINX Plus bei Verwendung bestimmter Konfigurationseinstellungen. Die Auswirkungen sind begrenzt, da der NGINX-Nutzer nur geringe Rechte hat. Patches sind verfügbar, ein Update wird dringend empfohlen.

Eine kritische Server-Side Request Forgery-Lücke (CVE-2026-33024) in AVideo-Versionen vor 8.0 ermöglicht es Angreifern, auf interne Netzwerkressourcen zuzugreifen. Die Schwachstelle betrifft die öffentlichen Thumbnail-Endpunkte, die eine unsichere URL-Validierung aufweisen. Ein Patch in Version 8.0 behebt das Problem.

Eine kritische SQL-Injektions-Schwachstelle in AVideo, einer Plattform zum Teilen von Videos, ermöglicht Angreifern den direkten Zugriff auf die Datenbank. Die Lücke betrifft Versionen vor 8.0 und wurde in der Version 8.0 behoben. Bis zum Update können Betreiber einen WAF-Schutz oder eine Beschränkung des Zugriffs auf den relevanten Bereich umsetzen.

Die Python-basierte UI-Bibliothek Mesop in Version 1.2.2 und älter weist eine Sicherheitslücke auf, die es böswilligen Akteuren ermöglicht, willkürlich Dateien auf dem Dateisystem zu manipulieren. Dies kann zu Denial-of-Service-Angriffen oder sogar zur Übernahme des Systems führen. Ein Patch in Version 1.2.3 behebt dieses kritische Problem.

Eine kritische Schwachstelle in GoHarbor Harbor Version 2.15.0 und älter erlaubt Angreifern den Zugriff auf die Web-Oberfläche mit einem Standardpasswort. Sysadmins müssen dringend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke in der Versionsverwaltung der Open-Source-Aufgabenverwaltungsplattform Vikunja ermöglichte es Nutzern, Dateien anderer Projekte herunterzuladen oder zu löschen. Das Problem wurde in Version 2.2.1 behoben.

In WWBN AVideo, einer Open-Source-Videoplatform, erlaubte eine Sicherheitslücke in der Funktion "sanitizeFFmpegCommand()" bis Version 26.0 Angreifern, durch manipulierte Eingaben beliebigen Code auf dem Encoder-Server auszuführen. Ein Patch in Commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 behebt das Problem.