Tech Blog

Eine kritische Schwachstelle in den Versionen 7.0.0 bis 7.9.3 von React Router und in den Remix-Versionen vor 2.17.2 ermöglicht es Angreifern, auf Dateien außerhalb des Session-Verzeichnisses zuzugreifen. Dies kann je nach Berechtigungen des Webserver-Prozesses zum Auslesen sensibler Daten führen. Die Lücke wurde in den neuesten Versionen behoben.

In Versionen 11.0.6 bis 25.0.0 des Content-Management-Systems HAX CMS gibt es eine kritische Sicherheitslücke, die es Angreifern ermöglicht, durch gespeicherte XSS-Angriffe die Kontrolle über Nutzerkonten zu übernehmen. Der Patch in Version 25.0.0 behebt dieses Problem. Sysadmins sollten dringend auf die aktuelle Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Die Desktop-App DevToys für Entwickler enthält bis zur Version 2.0.8.0 eine schwerwiegende Sicherheitslücke bei der Installation von Erweiterungen. Angreifer können durch präparierte Erweiterungspakete beliebige Dateien auf dem System überschreiben. Dies kann zu Codeausführung, Konfigurationsmanipulation oder Datenbeschädigung führen. Das Problem wurde in Version 2.0.9.0 behoben.

Google hat ein Sicherheitsupdate für Chrome und Android WebView veröffentlicht, um eine kritische Schwachstelle (CVE-2026-0628) zu schließen. Die Lücke gefährdete sensible Nutzerdaten und ermöglichte potenziell Remote-Code-Ausführung. Betroffene Nutzer sollten ihre Android-Geräte umgehend aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

Die BeeS Software Solutions BET Portal-Anwendung weist eine kritische SQL-Injection-Schwachstelle in der Loginkomponente auf. Dadurch können Angreifer beliebige SQL-Befehle auf der Datenbank ausführen und so auf sensible Daten zugreifen oder das System manipulieren. Eine zeitnahe Behebung der Lücke ist dringend erforderlich, um Datenverluste und Kompromittierungen zu verhindern.

Eine kritische Sicherheitslücke in Zenitel-Geräten ermöglicht es Angreifern mit gültigen Zugangsdaten, beliebige Befehle auszuführen. Dies kann zu erheblichen Risiken für die Netzwerksicherheit führen, da Angreifer das System manipulieren können. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-64090, CVE-2025-64091, CVE-2025-64093).

Eine kritische Sicherheitslücke in GitLab CE/EE vor Version 18.6.3 und 18.7.1 ermöglichte es Angreifern, durch Ausnutzen einer Session-Schwachstelle beliebigen Code auszuführen. Betroffene Nutzer konnten durch Öffnen einer präparierten Webseite kompromittiert werden, was zu unberechtigtem Zugriff und Datenverlust führen konnte. Administratoren sollten dringend auf die aktuellen Versionen von GitLab aktualisieren, um diese Schwachstelle zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-13761, CVE-2025-9222).

Eine kritische Schwachstelle (CVSS 10.0) in der n8n-Workflow-Automatisierungsplattform ermöglicht Angreifern die vollständige Kontrolle über exponierte Instanzen. Die Lücke betrifft Webhook-Verarbeitung und Dateimanagement und wurde in Version 1.121.0 behoben. Bis zum Update sollten Nutzer öffentlichen Zugriff auf Webhook-Endpunkte einschränken.

Forscher entdeckten eine schwerwiegende Schwachstelle in der Workflow-Automatisierungsplattform n8n, die es Angreifern ermöglicht, beliebigen Code auszuführen und die volle Kontrolle über die betroffenen Systeme zu erlangen. Die Lücke ist mit dem höchsten CVSS-Wert von 10,0 eingestuft und betrifft rund 100.000 Server. Ein Patch ist verfügbar, Anwender sollten ihre Systeme dringend aktualisieren.

Das WordPress-Plugin "Frontend Admin" von DynamiApps weist eine Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, ihre Rechte auf dem System zu erhöhen. Das Problem liegt in der mangelhaften Validierung von Rollen-Werten in mehreren Funktionen. Ausnutzen Angreifer diese Schwachstelle über ein Nutzerregistrierungsformular, können sie sich unerlaubt Admin-Zugriff auf die Website verschaffen und die volle Kontrolle übernehmen. Die Lücke betrifft alle Versionen des Plugins bis einschließlich 3.28.25.