Tech Blog

Eine kritische Schwachstelle (CVE-2025-62877, CVSS 9.8) in SUSE Virtualisierung (Harvester) ermöglicht den Zugriff auf das Standard-SSH-Passwort, wenn der interaktive Installer der Version 1.5.x oder 1.6.x verwendet wird. Das Problem betrifft Projekte, die Harvester einsetzen. Eine Nutzung des PXE-Boot-Mechanismus zusammen mit der Harvester-Konfiguration ist nicht betroffen.

Eine kritische Sicherheitslücke in der OWASP Core Rule Set (CRS) führt dazu, dass Angreifer Charsets in Multipart-Requests missbrauchen können. Betroffen sind Versionen vor 4.22.0 und 3.3.8, die nun gepatcht wurden. Die Lücke kann zu Schwachstellen in Web-Applikations-Firewalls führen, die die CRS einsetzen.

Eine Sicherheitslücke in Nitro PDF Pro für Windows vor Version 14.42.0.34 ermöglicht es, dass Signerinformationen aus einem nicht verifizierten PDF-Feld anstatt vom verifizierten Zertifikatsinhaber angezeigt werden. Dies könnte zu inkonsistenten Signerinformationen führen. Der Hersteller hat die Anzeige-Logik angepasst, um sicherzustellen, dass die Signerinformationen immer dem verifizierten Zertifikatsinhaber entsprechen.

In ZimaOS, einer Variante des CasaOS-Betriebssystems, ermöglicht eine Schwachstelle in der Anmeldeprozedur bis Version 1.5.0 Unbefugten den Zugriff auf das System, wenn sie einen bekannten Systemnutzernamen verwenden - unabhängig vom verwendeten Passwort. Ohne verfügbaren Patch müssen Nutzer dieses Betriebssystems dringend Gegenmaßnahmen ergreifen, um ihre Systeme vor Kompromittierung zu schützen.

Die Versionen bis 2.1.3 des JimuReport-Tools sind anfällig für eine kritische Sicherheitslücke, die Remote-Code-Ausführung ermöglicht. Angreifer können durch manipulierte JDBC-URLs beliebigen Java-Code ausführen. Dieses Problem ist anders als die zuvor bekannte Schwachstelle CVE-2025-10770.

Eine Sicherheitslücke in Automai Director v.25.2.0 ermöglicht es einem Angreifer aus der Ferne, seine Rechte zu erhöhen. Sysadmins sollten dringend ein Update auf eine neuere, gepatcht Version installieren, um ihre Systeme vor dieser Schwachstelle zu schützen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-46066, CVE-2025-46067, CVE-2025-46068).

Eine Sicherheitslücke in der Automai BotManager-Software v.25.2.0 ermöglicht es Angreifern, über die BotManager.exe-Komponente beliebigen Schadcode auszuführen. Admins sollten dringend ein Update auf eine höhere, sicherere Version installieren, um ihre Systeme vor dem Missbrauch dieser kritischen Schwachstelle (CVE-2025-46070) zu schützen.

In der Roboter-Steuerungssoftware Unitree Go1 wurde eine schwerwiegende Sicherheitslücke entdeckt. Aufgrund von Hardcoded Zugangsdaten in Klartext können Angreifer unkontrollierten Zugriff auf die Geräte erlangen. Das Sicherheitsrisiko wird mit 8.8 von 10 Punkten als "hoch" eingestuft. Anwender sollten umgehend ein Firmware-Update einspielen, sobald es vom Hersteller bereitgestellt wird.

Die Schwachstelle CVE-2025-71063 in der Kalendersoftware Errands vor Version 46.2.10 lässt Entwickler TLS-Zertifikate von CalDAV-Servern nicht ordnungsgemäß prüfen. Dadurch können Angreifer möglicherweise Man-in-the-Middle-Angriffe durchführen und Kalenderdaten ausspähen oder manipulieren. Sicherheitsexperten empfehlen dringend, auf die neueste Errands-Version 46.2.10 oder höher zu aktualisieren, sobald ein Patch verfügbar ist.

In Coolify, einer selbst-gehosteten Lösung für Server- und Anwendungsverwaltung, existiert eine Sicherheitslücke, die es Nutzern mit geringen Rechten ermöglicht, als Root-Nutzer Systemkommandos auszuführen. Diese kritische Schwachstelle (CVE-2025-64424) betrifft Versionen bis einschließlich v4.0.0-beta.434. Zum Zeitpunkt der Veröffentlichung ist unklar, ob ein Patch verfügbar ist. Administratoren sollten die Situation genau beobachten und zeitnah Gegenmaßnahmen ergreifen, sobald eine Lösung bereitsteht.