Tech Blog

Fortinet hat eine kritische Sicherheitslücke in seiner Sicherheitsmanagement-Software FortiSIEM geschlossen. Die Schwachstelle, bekannt als CVE-2025-64155, ermöglichte es nicht authentifizierten Angreifern, beliebigen Code auszuführen. Mit einem Schweregrad von 9,4 auf der CVSS-Skala ist diese Lücke als äußerst gefährlich einzustufen. Admins sollten umgehend das bereitgestellte Update einspielen, um ihre Systeme vor Missbrauch zu schützen.

Das WordPress-Plugin "Opvius AI for WooCommerce" ist von einer kritischen Pfad-Traversal-Schwachstelle betroffen. Unauthentifizierte Angreifer können dadurch auf sensible Server-Dateien zugreifen und diese manipulieren, z.B. die wichtige `wp-config.php`. Die Lücke betrifft die Funktion `process_table_bulk_actions()`, die Nutzer-Input unzureichend überprüft. Dadurch ist die Sicherheit betroffener Installationen stark gefährdet.

Eine kritische Local File Inclusion-Schwachstelle im WordPress News and Blog Designer Bundle Plugin ermöglicht es unauthentifizierten Angreifern, beliebige PHP-Dateien auf dem Server auszuführen. Das kann zu Malware-Infektionen und Datenverlust führen. Admins sollten das Plugin umgehend aktualisieren, um ihre Systeme vor diesem Sicherheitsrisiko zu schützen.

Microsoft hat im Januar 2026 114 Sicherheitslücken in Windows geschlossen, darunter eine, die bereits aktiv ausgenutzt wurde. Betroffen sind 8 kritische und 106 als "wichtig" eingestufte Schwachstellen, die unter anderem Privilegerweiterungen, Informationslecks und Remotecodeausführung ermöglichten. Administratoren sollten die Patches zeitnah einspielen, um Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke in Node.js kann zu Denial-of-Service-Attacken führen, wenn der Stack-Speicher erschöpft wird. Das betrifft praktisch jede produktiv eingesetzte Node.js-Anwendung. Node.js hat Updates veröffentlicht, um das Problem zu beheben. Sysadmins sollten diese Patches zeitnah einspielen, um Ausfälle der Dienste zu verhindern.

Eine Race-Condition-Schwachstelle in Huaweis Video-Framework kann zu Verfügbarkeitseinbußen der Videodienste führen. Angreifer könnten die Fehler in der Multithreading-Implementierung ausnutzen. Betroffene Organisationen sollten dringend empfohlene Patches installieren und ihre Sicherheitsrichtlinien überprüfen, um die Risiken dieser Sicherheitslücke zu mindern.

In der Clevo HotKey Clipboard Software Version 2.1.0.6 gibt es eine Fehlkonfiguration im HKClipSvc-Dienst, die es lokalen Nicht-Privileged-Nutzern ermöglicht, den unquotierten Dienstpfad auszunutzen. Dadurch können Angreifer manipulierte Ausführungsdateien platzieren und so willkürlichen Code mit erhöhten Systemrechten ausführen. Eine kritische Sicherheitslücke, die dringend behoben werden sollte.

Die Version 2.04 Build 103 des AimOne Video Converters ist von einer Pufferüberlauf-Schwachstelle in seinem Registrierungsformular betroffen. Angreifer können damit einen Denial-of-Service-Absturz des Programms auslösen. Die Schwachstelle im Registrierungsmechanismus könnte auch für weitergehende Kompromittierungen des Systems ausgenutzt werden.

Versionen 4.6.0 bis 4.9.0 des Inbit Messengers sind von einer kritischen Sicherheitslücke betroffen. Unauthentifizierte Angreifer können durch manipulierte Netzwerkpakete beliebigen Code ausführen. Die Schwachstelle ermöglicht das Überschreiben des Structured Exception Handlers (SEH) und erlaubt so die Ausführung von Schadcode auf betroffenen Windows-Systemen.

Die Version 1.6.0 des Outline-Programms ist von einer kritischen Schwachstelle betroffen, die es lokalen Angreifern ermöglicht, beliebigen Code mit erhöhten Systemrechten auszuführen. Durch die Ausnutzung eines unquotierten Dienstpfades im OutlineService-Prozess können Schädlinge ihre Schadcode unter LocalSystem-Berechtigungen einschleusen und so die Systemsicherheit kompromittieren.