Tech Blog

Die Open-Source-Anwendung "Dive" zur Integration von LLMs wies vor Version 0.13.0 eine kritische Sicherheitslücke auf. Angreifer konnten über manipulierte Deeplinks eine Konfiguration eines Kontrollservers installieren und so willkürlichen Schadcode auf dem Opfersystem ausführen. Die Schwachstelle wurde mit dem Update 0.13.0 behoben.

Eine kritische Sicherheitslücke in Microsoft SharePoint ermöglicht autorisierten Angreifern das Ausführen von Schadcode über ein Netzwerk. Die Schwachstelle betrifft die unsachgemäße Neutralisierung von Sonderzeichen in SQL-Befehlen (SQL-Injection). Admins sollten umgehend ein Sicherheitsupdate installieren, um ihre SharePoint-Systeme vor Missbrauch zu schützen.

Eine Sicherheitslücke im PHP-Framework HealthHub ermöglicht es Angreifern, lokal Dateien auf dem Server einzubinden. Die Schwachstelle betrifft Versionen bis einschließlich 1.3.0 und hat eine Bewertung von 8.2 (Hoch). Administratoren sollten umgehend ein Update auf eine neuere, gepatche Version installieren, um das System vor Missbrauch zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-22781) in der Delphi-basierten Webserver-Software TinyWeb ermöglicht es Angreifern, durch manipulierte CGI-Abfragen beliebige Befehle auf dem Server auszuführen. Betroffen sind Versionen vor 1.98. Ein Patch ist verfügbar, der dieses Problem behebt.

In der Termix-Plattform, einem webbasierten Server-Management-Tool, existiert von Version 1.7.0 bis 1.9.0 eine kritische Sicherheitslücke im Dateimanager-Modul. Angreifer können manipulierte SVG-Dateien hochladen, die beim Öffnen im Termix-Kontext beliebigen JavaScript-Code ausführen. Dieser Fehler wurde in Version 1.10.0 behoben.

Eine kritische Schwachstelle in dem WordPress-Theme "Otaku" ermöglicht lokale Dateieinbindung. Angreifer können damit potenziell beliebigen PHP-Code ausführen. Das Theme ist von Version n/a bis 1.8.0 betroffen. Ein Patch ist erforderlich, um die Sicherheitslücke zu schließen.

Eine kritische Sicherheitslücke (CVE-2025-58895) mit einer Bewertung von 8.2 wurde im WordPress-Plugin Integro entdeckt. Die Schwachstelle ermöglicht Angreifern, mittels PHP Local File Inclusion beliebigen Code auf dem Server auszuführen. Betroffen sind alle Versionen des Plugins von n/a bis einschließlich 1.8.0. Admins sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Sicherheit ihrer Systeme wiederherzustellen.

Eine kritische Sicherheitslücke in der KI-Workflow-Plattform Langflow ermöglicht es Unbefugten, auf sensible Nutzerdaten und -funktionen zuzugreifen. Die Schwachstelle betrifft mehrere API-Endpunkte vor Version 1.7.0.dev45, die keine Authentifizierung erfordern. Dadurch können Angreifer auf Konversationen, Transaktionen und sogar Löschfunktionen zugreifen. Ein Patch in Version 1.7.0.dev45 behebt dieses Problem.

Das phpgurukul News Portal Project V4.1 weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, beliebige Dateien zu löschen. Die Schwachstelle befindet sich in der Datei "remove_file.php" und wird durch den Parameter "file" ausgenutzt. Betreiber sollten schnellstmöglich ein Update einspielen, um die Verwundbarkeit zu beheben.

Das phpgurukul News Portal V4.1 weist eine schwerwiegende Sicherheitslücke in der upload.php-Datei auf. Unbefugte Nutzer können ohne Authentifizierung beliebige Dateien auf den Server hochladen. Dies ermöglicht potenzielle Remote-Code-Ausführung mit verheerenden Folgen. Administratoren sollten dringend ein Update auf eine nicht betroffene Version durchführen, bis ein Patch verfügbar ist.