Tech Blog

Eine kritische SQL-Injektions-Schwachstelle in der Aimeos Laravel E-Commerce Plattform ermöglicht es Angreifern, sensible Datenbankschema-Informationen offenzulegen. Die Schwachstelle betrifft den 'sort'-Parameter der JSON-API und muss dringend durch Eingabevalidierung und Escaping behoben werden, um die Datenbankintegrität zu schützen.

In der Version 9.31 des 10-Strike Network Inventory Explorer Pro existiert eine kritische Pufferüberlauf-Schwachstelle, die Angreifer ausnutzen können, um Schadcode auszuführen und die betroffenen Systeme zu übernehmen. Betroffen ist die Textdatei-Importfunktion des Programms. Organisationen, die diese Software einsetzen, müssen umgehend Gegenmaßnahmen ergreifen, um ihre Umgebungen zu sichern. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2021-47772, CVE-2025-66292, CVE-2021-47772).

Die Kingdia CD Extractor-Software ist anfällig für einen Puffer-Überlauf-Fehler im Registrierungsnamensfeld. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen Code auszuführen. Nutzer sind erheblichen Sicherheitsrisiken ausgesetzt, bis ein Patch vorliegt. Ein Update auf eine aktuellere, sichere Version des Programms ist dringend empfohlen.

Eine Puffer-Überlauf-Schwachstelle im YouTube Downloader von LitexMedia ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Durch geschickte Manipulation des Structured Exception Handlers kann ein Angreifer eine Rückverbindung zu einem lokalen Port herstellen und so die Systemsicherheit kompromittieren. Betroffene Nutzer sollten dringend ein Update auf eine nicht anfällige Version durchführen.

Eine kritische, unberechtigte SQL-Injection-Schwachstelle in der Build Smart ERP-Version 21.0817 ermöglicht es Angreifern, schadhafte SQL-Abfragen auszuführen und potenziell auf sensible Datenquellen zuzugreifen. Organisationen, die diese ERP-Software einsetzen, müssen umgehend Sicherheitsmaßnahmen ergreifen, um eine Ausnutzung der Lücke (CVE-2021-47777) zu verhindern.

Der Cmder Console Emulator Version 1.3.18 ist anfällig für eine Pufferüberlauf-Schwachstelle, die Angreifer ausnutzen können, um einen Denial-of-Service-Zustand zu verursachen. Durch eine manipulierte .cmd-Datei mit einer Zeichenfolge, die den Puffer des Konsolenemu-lators übersteigt, kann die Software abstürzen und den Dienst unterbrechen. Dies könnte weitere Ausnutzung ermöglichen.

Eine kritische Sicherheitslücke in der Projektmanagement-Software ProjeQtOr ermöglicht es unauthentifizierten Angreifern, willkürlichen PHP-Code auszuführen. Die Schwachstelle befindet sich im Profil-Attachment-Bereich, wo Angreifer schädliche PHP-Skripte hochladen können. Durch Manipulation bestimmter Anfrageparameter können Angreifer dann die hochgeladenen Dateien ausführen und so die Sicherheit des Systems kompromittieren.

Die NOAA PMEL Live Access Server (LAS) Software weist eine kritische Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, über speziell präparierte Anfragen beliebige Befehle auf dem Server auszuführen. Die Schwachstelle betrifft den SPAWN-Befehl und kann zu einer Ausführung von Schadcode führen. Eine Behebung der Lücke ist dringend erforderlich.

Eine kritische Schwachstelle im WordPress-Plugin "Supreme Modules Lite" ermöglicht es Angreifern mit Autor-Rechten, beliebige Dateien auf dem Server hochzuladen und so potenziell Schadcode auszuführen. Die Lücke betrifft alle Versionen bis einschließlich 2.5.62 und muss dringend durch ein Update geschlossen werden, um Kompromittierungen zu verhindern.

Im WordPress Plugin "Bulk Page Generator" wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-22522 entdeckt. Angreifer können damit ohne Authentifizierung beliebige Inhalte auf der Website einfügen. Ein Patch ist verfügbar, Webseitenbetreiber sollten das Plugin umgehend aktualisieren.