Tech Blog

Eine Sicherheitslücke in der Java-Komponente XMLUtils.java des Slovensko.Digital Autogram ermöglicht es unauthentifizierten Angreifern, Server-seitige Anfragen zu manipulieren und unbefugten Zugriff auf lokale Dateien zu erlangen. Die Schwachstelle vom Typ "Improper Restriction of XML External Entity Reference" kann durch das Öffnen einer präparierten Website ausgenutzt werden. Betroffene Anwender sollten umgehend ein Update einspielen, um die Verwundbarkeit zu beheben.

Eine kritische Pufferüberlauf-Schwachstelle in der XML-Parsing-Bibliothek XML::Parser für Perl ermöglicht Angreifern, durch das Parsen von XML-Dateien mit extrem tiefer Verschachtelung, die Ausführung von beliebigem Code. Betroffen sind alle Versionen bis 2.47. Ein Patch ist verfügbar, Anwender sollten ihre XML-Parser-Bibliotheken umgehend aktualisieren.

In der beliebten Bioinformatik-Bibliothek HTSlib wurde eine kritische Sicherheitslücke in der CRAM-Komprimierung entdeckt. Durch unzureichende Validierung der Sequenzdaten können Angreifer Speicherzugriffe außerhalb des gültigen Bereichs erzwingen, was zu Informationslecks oder Abstürzen führen kann. Zum Glück gibt es bereits Patches für die betroffenen Versionen 1.23.1, 1.22.2 und 1.21.1.

Eine kritische Schwachstelle in der HTSlib-Bibliothek zum Lesen und Schreiben von Bioinformatik-Dateiformaten ermöglicht Datenlecks und Abstürze. Betroffen sind die Versionen 1.23.1, 1.22.2 und 1.21.1. Es gibt keine Workarounds, aber Sicherheitsupdates stehen zur Verfügung.

In Feathersjs, einem Framework für Web-APIs und Echtzeit-Anwendungen, besteht von Version 5.0.0 bis vor 5.0.42 eine kritische Sicherheitslücke. Angreifer können ohne Authentifizierung eine präparierte GET-Anfrage an den /oauth/:provider/callback-Endpunkt senden und so über eine Schwachstelle in der Authentifizierungskette an gültige Zugriffstoken für bestehende Nutzer gelangen, ohne den OAuth-Prozess zu durchlaufen. Das Problem ist in Version 5.0.42 behoben.

Eine schwerwiegende Sicherheitslücke wurde in diversen D-Link-Router-Modellen entdeckt. Durch Manipulation der Web-Oberfläche kann ein Angreifer einen Pufferüberlauf auslösen und so potenziell die Kontrolle über das Gerät erlangen. Der Exploit ist bereits öffentlich verfügbar, Anwender sollten dringend Sicherheitsupdates installieren, um sich vor Angriffen zu schützen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-4213, CVE-2026-4211, CVE-2026-4212).

Ach du Scheiße, wieder eine kritische Sicherheitslücke in den üblichen Verdächtigen - diesmal in diversen D-Link-Routern und NAS-Geräten. Durch eine Schwachstelle im UPnP-Server können Angreifer per Fernzugriff einen Stack-Überlauf auslösen. Der Exploit ist bereits veröffentlicht, also sollten Admins schnell handeln und patchen. Wie wäre es mal mit mehr Sorgfalt bei der Entwicklung, liebe Hersteller?

Eine kritische Sicherheitslücke in Feathersjs erlaubt es böswilligen Akteuren, beliebige JavaScript-Objekte als ID-Argumente an Dienste zu senden. Mit der MongoDB-Anbindung können so Datenbankabfragen manipuliert werden, um auf alle Dokumente zuzugreifen. Der Fehler ist seit Version 5.0.42 behoben, Nutzer sollten dringend auf diese oder eine neuere Version aktualisieren.

Ein Angreifer mit Zugriff auf das Netzwerk könnte eine kritische Path-Traversal-Schwachstelle in der UniFi Network Application ausnutzen, um auf Dateien des zugrunde liegenden Systems zuzugreifen und darüber Zugang zu einem darunter liegenden Konto erlangen. Admins sollten dringend das Update installieren, sobald es verfügbar ist.

Inout EasyRooms Ultimate Edition v1.0 weist eine SQL-Injection-Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, die Datenbank zu manipulieren. Durch das Injizieren von bösartigem SQL-Code über den guests-Parameter können Angreifer Authentifizierung umgehen, sensible Daten extrahieren oder den Datenbankinhalt verändern. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2019-25525, CVE-2019-25526, CVE-2019-25527, CVE-2019-25528).