Tech Blog

In WWBN AVideo, einer Open-Source-Videoplatform, erlaubte eine Sicherheitslücke in der Funktion "sanitizeFFmpegCommand()" bis Version 26.0 Angreifern, durch manipulierte Eingaben beliebigen Code auf dem Encoder-Server auszuführen. Ein Patch in Commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 behebt das Problem.

Blinko, eine KI-gesteuerte Notiz-App, wies bis Version 1.8.4 eine Privileg-Eskalations-Schwachstelle auf. Jeder angemeldete Nutzer konnte über die upsertUser-Funktion die Passwörter anderer Nutzer ändern und so die komplette Kontrolle über deren Konten erlangen. Der Patch in Version 1.8.4 behebt dieses kritische Sicherheitsproblem.

Forscher entdeckten eine hochgefährliche Sicherheitslücke mit CVE-2026-33854 in Android-ImageMagick7 vor Version 7.1.2-10. Die Schwachstelle ermöglicht Angreifern, durch einen Pufferüberlauf beliebigen Code auszuführen. Betroffen sind alle Versionen vor dem Patch - Nutzer sollten umgehend aktualisieren, um Systeme vor Kompromittierung zu schützen.

Die Software GoHarbor Harbor von VMware, insbesondere Versionen bis 2.15.0, weist eine Sicherheitslücke aufgrund von fest codierten Zugangsdaten auf. Dieser Implementierungsfehler ermöglicht Angreifern die Nutzung von Standardanmeldeinformationen, was den Zugriff auf die Web-Benutzeroberfläche kompromittiert. Angreifer können diese Schwachstelle ausnutzen, um unbefugten Zugriff zu erlangen und möglicherweise sensible Daten und Funktionen offenzulegen. Benutzer müssen ihre Installationen dringend aktualisieren und Standardpasswörter ändern, um dieses Risiko zu mindern.

Das Open-Source-Video-Plattform WWBN AVideo ist von mehreren Sicherheitslücken im CloneSite-Plugin betroffen. Unauthentifizierte Angreifer können damit Schadcode ausführen und sogar einen Datenbank-Dump mit Admin-Passwörtern abgreifen. Ein Patch behebt diese Probleme, aber wer hat schon Zeit für solchen Kram? Tja, wieder mal eine Erinnerung, dass Sicherheit nicht immer die höchste Priorität zu haben scheint.

Eine harmlos erscheinende Schwachstelle in der gRPC-Go-Bibliothek ermöglicht Angreifern den Umgehung der Autorisierung. Durch Weglassen eines einzelnen Schrägstrichs können Unbefugte Zugriff auf sensible Daten oder interne Netzwerke erlangen. Administratoren müssen dringend die betroffenen Systeme auf den neuesten Stand bringen, um Schäden durch CVE-2026-33186 zu verhindern.

Hacker nutzen die maximale Schwachstelle CVE-2025-32975 (CVSS-Wert 10.0) aus, um ungepatcht Quest KACE SMA-Systeme zu übernehmen. Laut Sicherheitsexperten von Arctic Wolf wurde die Schwachstelle bereits in Kundenumgebungen ausgenutzt. Admins sollten ihre SMA-Systeme schnellstmöglich auf den aktuellen Stand bringen, um Kompromittierungen zu verhindern.

Eine kritische Schwachstelle in der Krypto-Bibliothek jsrsasign vor Version 11.1.1 ermöglicht es Angreifern, den privaten Schlüssel zu extrahieren. Die Lücke betrifft den DSA-Signaturprozess und kann ausgenutzt werden, indem der Wert von r oder s auf null gezwungen wird, was zu einer ungültigen Signatur führt. Entwickler sollten dringend auf die aktuellste Version von jsrsasign aktualisieren, um diese Schwachstelle zu schließen.

Eine Sicherheitslücke im WordPress-Plugin trx_addons vor Version 2.38.5 ermöglicht es unauthentifizierten Nutzern, beliebige Dateien hochzuladen. Dies ist auf einen Fehler bei der Behebung der vorherigen Schwachstelle CVE-2024-13448 zurückzuführen. Systemadministratoren sollten das Plugin umgehend auf die aktuellste Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine unberechtigte Fernattacke kann eine versteckte Funktion in der Befehlszeile ausnutzen, um aus der eingeschränkten Oberfläche zu entkommen und Root-Zugriff auf das zugrunde liegende Linux-Betriebssystem zu erlangen. Dies führt zur vollständigen Kompromittierung des Geräts.