Tech Blog

Eine kritische Sicherheitslücke in Dify v1.9.1 ermöglicht es Angreifern, über den Endpunkt /console/api/setup authentifizierte Anfragen von beliebigen externen Domains zu stellen. Die mangelhafte CORS-Konfiguration reflektiert den Origin-Header und setzt Access-Control-Allow-Credentials: true, was unberechtigten Zugriff auf geschützte Ressourcen erlaubt. Der Hersteller bestreitet den Sicherheitsmangel, da die Endpunkt-Konfiguration angeblich absichtlich so gestaltet ist.

Eine kritische Sicherheitslücke in der Firmensoftware DIGIKENT von Vadi Corporate Information Systems Ltd. Co. ermöglicht Unbefugten den Zugriff auf sensible Systemdaten. Die Schwachstelle mit der CVE-ID CVE-2025-9986 hat eine Bewertung von 8.2 "Hoch" und betrifft alle Versionen der Software bis 13092025. Admins sollten umgehend einen Patch einspielen, um die Systeme vor Kompromittierung zu schützen.

Eine schwerwiegende Authentifizierungslücke in Dinosoft ERP ermöglicht es Angreifern, auf kritische Funktionen zuzugreifen, ohne sich zu authentifizieren. Die Schwachstelle betrifft Versionen von Dinosoft ERP vor 3.0.1 bis hin zu 11022026. Der Hersteller wurde über die Lücke informiert, hat aber nicht reagiert.

Eine Schwachstelle mit CVE-2025-21427 ermöglicht das Auslesen sensibler Informationen, wenn ein Mobilgerät (UE) RTP-Pakete aus dem Netzwerk empfängt. Entwickler müssen dringend einen Patch installieren, um das Risiko von Datenlecks zu minimieren.

Das WordPress-Plugin wpForo Forum ist bis einschließlich Version 2.4.13 von einer PHP-Objektinjektion-Schwachstelle betroffen. Authentifizierte Angreifer ab Subscriber-Zugriff können dadurch möglicherweise beliebigen PHP-Code ausführen, falls auf der Website ein weiteres Plugin oder Theme mit einer entsprechenden Exploit-Kette installiert ist. Eine Aktualisierung auf die neueste Version des Plugins wird dringend empfohlen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0910, CVE-2026-24789).

METIS DFS-Geräte (Versionen <= oscore 2.1.234-r18) weisen eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, ohne Authentifizierung Systemkommandos mit "Daemon"-Rechten auszuführen. Dies führt zur Kompromittierung der Software und gibt Zugriff auf sensible Konfigurationen, Daten und Dienste.

Eine kritische Sicherheitslücke (CVE-2025-8668) in der Turboard-Software ermöglicht Angreifern, Skripte auf betroffenen Webseiten einzuschleusen. Dies betrifft Versionen von 2025.07 bis 11022026. Der Hersteller wurde zwar informiert, reagierte jedoch nicht darauf. Administratoren sollten dringend ein Update auf eine nicht betroffene Version installieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-2248) in METIS WIC-Geräten mit Betriebssystemversionen bis 2.1.234-r18 ermöglicht es Angreifern, über eine Web-Konsole ohne Authentifizierung beliebige Systemkommandos mit Root-Rechten auszuführen. Dies führt zur vollständigen Kompromittierung der Geräte und erlaubt den unbefugten Zugriff, das Auslesen sensibler Daten sowie Manipulationen an der Systemkonfiguration.

Eine Sicherheitslücke im Wildfly Elytron-Integrations-Modul wurde entdeckt. Die Komponente implementiert keine ausreichenden Maßnahmen, um mehrere fehlgeschlagene Authentifizierungsversuche innerhalb kurzer Zeit zu verhindern, was Brute-Force-Attacken über die CLI erleichtert. Die Schwachstelle hat eine Bewertung von 8.1 auf der CVSS-Skala und sollte zeitnah behoben werden.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Logo j-Platform entdeckt. Angreifer können durch fehlerhafte Zugriffssteuerung sensible Informationen auslesen. Das Problem betrifft Versionen von 3.29.6.4 bis 13112025. Sicherheits-Updates sollten zeitnah eingespielt werden, um die Systeme vor Kompromittierung zu schützen.