Tech Blog

Eine kritische SQL-Injektionsschwachstelle wurde in der Flowmon ADS-Software von Progress Software identifiziert. Betroffen sind Versionen vor 12.5.4 und 13.0.1. Authentifizierte Angreifer können damit unbeabsichtigte SQL-Befehle ausführen und so auf die Datenbank zugreifen oder sie manipulieren. Anwender sollten dringend ein Update auf eine nicht betroffene Version durchführen, um Risiken wie unbefugten Datenzugriff und -änderungen zu vermeiden.

Eine schwerwiegende Sicherheitslücke in einem Router von Phoenix Contact ermöglicht es einem unauthentifizierten Angreifer, durch Manipulation eines hochprivilegierten Workflows Schadcode mit Rootrechten auszuführen. Dies kann zu einem vollständigen Kontrollverlust über das System führen und die Vertraulichkeit, Integrität und Verfügbarkeit kompromittieren.

In bestimmten Siemens-Geräten wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sich als legitime Nutzer auszugeben und so unbefugten Zugriff zu erlangen. Betreiber betroffener Siemens-Produkte sollten ihre Sicherheitsmaßnahmen überprüfen und geeignete Schritte ergreifen, um dieses Risiko zu mindern.

Eine schwerwiegende Sicherheitslücke in Siemens' TeleControl Server Basic ermöglicht Angreifern die Ausführung beliebigen Codes mit erhöhten Rechten. Betroffen sind alle Versionen vor 3.1.2.4. Nutzer sollten unverzüglich auf die neueste Version aktualisieren, um das Risiko zu minimieren.

Eine kritische Schwachstelle in TYPO3 ermöglicht es lokalen Nutzern, durch manipulierte Mails beliebigen PHP-Code auf dem Server auszuführen. Das Problem betrifft verschiedene TYPO3-Versionen von 10.0.0 bis 14.0.1 und muss dringend behoben werden. Ein Update auf die Versionen 10.4.55 ELTS, 11.5.49 ELTS, 12.4.41 LTS, 13.4.23 LTS oder 14.0.2 schließt die Sicherheitslücke. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0859, CVE-2025-59021).

Sicherheitsforscher haben eine kritische Schwachstelle im TYPO3-CMS-Recycler-Modul entdeckt. Angreifer mit Zugriff auf das Backend konnten damit beliebige Daten aus der Datenbank löschen - unabhängig von ihren eigentlichen Berechtigungen. Dies könnte zu einem Totalausfall der Website führen. Ein Patch ist verfügbar, Anwender sollten schnell updaten.

Eine Sicherheitslücke in TYPO3 ermöglichte es Angreifern, Datenbankfelder zu manipulieren, für die sie eigentlich keine Schreibrechte hatten. Die Schwachstelle wurde in den TYPO3-Versionen 10.4.55 ELTS, 11.5.49 ELTS, 12.4.41 LTS, 13.4.23 LTS und 14.0.2 behoben.

Das WordPress-Theme "Dreamer Blog" bis Version 1.2 ist von einer Sicherheitslücke betroffen, die es Angreifern ermöglicht, beliebige Installationen durchzuführen. Dies kann zu unbefugtem Zugriff und möglicher Ausnutzung führen. Nutzer sollten das Theme umgehend auf die neueste Version aktualisieren, um Sicherheitsvorfälle zu vermeiden. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-10915, CVE-2025-14829, CVE-2025-10915).

Eine Sicherheitslücke im WordPress-Plugin "E-xact Hosted Payment" ermöglicht es Angreifern, ohne Authentifizierung Dateien auf dem Server zu löschen. Das Plugin ist bis Version 2.0 betroffen. Die Schwachstelle entsteht durch unzureichende Überprüfung von Dateipfaden, was Manipulationen und Datenverluste ermöglichen kann. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14829, CVE-2022-50794, CVE-2022-50795, CVE-2023-53955).

Im Progress Kemp LoadMaster wurden zwei schwerwiegende Schwachstellen, CVE-2025-13444 und CVE-2025-13447, entdeckt. Diese ermöglichen potenziell unbefugten Zugriff und Ausführung von Schadcode. Admins sollten umgehend die bereitgestellten Patches installieren, um ihre Systeme vor Kompromittierung zu schützen.