Tech Blog

In der Datei-Update-Funktion von Directus (Version 10.8.0 bis vor 11.9.3) gibt es eine kritische Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglicht, bestehende Dateien mit beliebigem Inhalt zu modifizieren oder neue Dateien mit beliebigem Inhalt und Dateierweiterungen hochzuladen, die dann nicht im Directus-Interface angezeigt werden. Die Lücke wurde in Version 11.9.3 behoben.

Die Errands-App war bis Version 46.2.10 anfällig für eine Schwachstelle, die eine korrekte Überprüfung von TLS-Zertifikaten beim Verbinden mit CalDAV-Servern verhinderte. Dadurch konnten Angreifer den Datenverkehr zwischen App und Servern abfangen oder manipulieren, was Risiken für Integrität und Vertraulichkeit der Daten barg. Nutzer sollten umgehend auf die neueste Version aktualisieren, um diese Sicherheitslücke zu schließen.

Eine Sicherheitslücke in MindsDB's Datei-Upload-API erlaubt es unauthentifizierten Angreifern, durch unzureichende Eingabesanitierung beliebige Dateien vom Server zu lesen und in MindsDB's Speicher zu übertragen. Dies kann zum Diebstahl sensibler Daten führen. Betroffen sind Versionen vor 25.11.1, bei denen JSON-Uploads nicht korrekt überprüft werden. Während andere Upload-Methoden adäquat geschützt sind, bleibt diese Lücke für Angreifer offen.

Angreifer haben bösartige npm-Pakete in den Marktplatz der n8n-Automationsplattform eingeschleust. Die Pakete tarnen sich als legitime Integrations-Erweiterungen und erbeuten so sensible API-Zugangsdaten. Dies zeigt, dass Angreifer neue Ökosysteme für Supply-Chain-Angriffe missbrauchen. Unternehmen sollten eingebaute Integrationen bevorzugen, Pakete sorgfältig prüfen und Netzwerkaktivitäten überwachen, um sich vor dieser Bedrohung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-21858, CVE-2026-21693).

Forscher haben eine Reihe kritischer Sicherheitslücken in der beliebten React Router-Bibliothek entdeckt. Die Schwachstellen, die unter der CVE-2025-61686 bekannt sind, ermöglichen es Angreifern, auf sensible Serverdateien zuzugreifen. Betroffen sind React-basierte Webanwendungen, die React Router einsetzen. Entwickler sollten dringend ein Update auf eine nicht betroffene Version vornehmen, um ihre Systeme vor möglichen Kompromittierungen zu schützen.

Forscher haben eine kritische Schwachstelle (CVE-2025-68493) im weit verbreiteten Java-Framework Struts 2 entdeckt. Angreifer können die Lücke ausnutzen, um Daten aus betroffenen Systemen auszulesen. Betroffen sind alle Versionen von Struts 2 - ein Patch ist dringend erforderlich, um die Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke in Apache Uniffle (CVE-2025-68637) erlaubt Angreifern das Abhören von Cluster-Kommunikation. Das Flaw betrifft die Verschlüsselung und kann zur Preisgabe sensibler Daten führen. Admins sollten umgehend auf die veröffentlichten Patches umstellen, um ihre Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle in keylime ermöglicht es Angreifern, die Identität eines legitimen Agents zu übernehmen, indem sie einen neuen Agent mit einer anderen Trusted Platform Module (TPM) Einheit registrieren, aber die eindeutige Kennung (UUID) des bestehenden Agents verwenden. Dadurch können Sicherheitskontrollen umgangen werden.

Eine Schwachstelle in der HTTP-Header-Verarbeitung von libsoup ermöglicht es, mehrere Host-Header in einer Anfrage zu platzieren. Der Server verarbeitet dann den letzten Host-Header, während Proxys oft den ersten verwenden. Das führt zu Verwirrung bei der Zuordnung der Anfrage und kann Angriffe wie Request-Smuggling, Cache-Vergiftung oder das Umgehen von Host-basierten Zugriffskontrollen ermöglichen.

Eine kritische SQL-Injection-Schwachstelle (CVE-2025-52694) in einem Internetdienst ermöglicht es unauthentifizierten Angreifern, beliebige SQL-Befehle auszuführen. Das könnte zur Kompromittierung des Systems führen. Solange kein Patch verfügbar ist, sollte der Dienst umgehend vom Netz genommen oder durch Firewall-Regeln abgeschottet werden.