Tech Blog

In Fastjson-Versionen vor 1.2.48 gibt es eine kritische Sicherheitslücke im Autotyp-Feature. Wenn eine @type-Schlüssel in einem JSON-Dokument mit einem Java-Klassennamen als Wert vorhanden ist, kann dies zu unbeabsichtigten Aufrufen öffentlicher Methoden dieser Klasse führen. Das kann JNDI-Injektionsangriffe ermöglichen. Die Lücke wurde bereits mehrfach ausgenutzt, daher ist ein Update auf die neueste Version dringend empfohlen.

Das WordPress-Plugin "Frontend Admin" von DynamiApps weist eine kritische Sicherheitslücke auf, die es unautorisierte Angreifer ermöglicht, Beiträge, Seiten, Produkte und sogar Nutzerkonten zu löschen. Die Schwachstelle betrifft alle Versionen bis einschließlich 3.28.25 und sollte dringend behoben werden, um Datenverluste zu verhindern.

Eine Sicherheitslücke in GNU Wget2 ermöglicht es Angreifern, Dateien an unerwarteten Orten zu schreiben. Das Problem betrifft die Verarbeitung von Metalink-Dokumenten, bei denen die Pfadangaben nicht ausreichend validiert werden. Nutzer müssen dringend auf die neueste Version von GNU Wget2 wechseln und alle relevanten Sicherheitsupdates installieren, um Datenverlust und weitere Kompromittierungen zu vermeiden.

Eine schwerwiegende Sicherheitslücke in HPE OneView, einer zentralen Managementplattform für Server, Storage und Netzwerke, ermöglicht Angreifern die Ausführung beliebigen Codes ohne Authentifizierung. Die Cybersicherheitsbehörde CISA hat die Lücke als "hochkritisch" eingestuft, da sie Zugriff auf die gesamte Unternehmensinfrastruktur gewähren kann. Unternehmen müssen die Lücke dringend schließen, aber Vorsicht: ein schlecht getestetes Patch-Management kann fast genauso gefährlich sein wie die Schwachstelle selbst.

Trend Micro hat Sicherheitsupdates veröffentlicht, um mehrere Sicherheitslücken in der lokalen Windows-Version von Apex Central zu beheben, darunter eine kritische Schwachstelle mit der Kennung CVE-2025-69258, die eine Ausführung von Schadcode aus der Ferne ermöglicht. Dieses Problem hat einen CVSS-Score von 9,8 von 10 und sollte dringend behoben werden.

Eine kritische Schwachstelle (CVE-2025-12543) wurde in der Java Undertow-Komponente entdeckt. Diese Lücke kann von Angreifern ausgenutzt werden, um die Kontrolle über betroffene Systeme zu erlangen. Betroffen sind alle Versionen von Java, die die Undertow-Komponente verwenden. Für betroffene Systeme wird dringend ein Sicherheitsupdate empfohlen, um das Risiko einer Kompromittierung zu minimieren.

Eine kritische Sicherheitslücke (CVE-2025-64093) ermöglicht es unauthentifizierten Angreifern, beliebige Befehle in den Hostnamen von Geräten zu injizieren und somit die Kontrolle über das System zu erlangen. Administratoren sollten dringend Patches oder Workarounds anwenden, um sich vor dieser Schwachstelle zu schützen.

Eine Schwachstelle mit der CVE-ID CVE-2025-64091 ermöglicht es Angreifern mit Zugriff auf die Konfiguration, Befehle auf dem betroffenen Gerät auszuführen. Das Problem betrifft die NTP-Konfiguration und wird mit einem Schweregrad von 8.6 (High) eingestuft. Betroffene Administratoren sollten umgehend Patches installieren oder Workarounds implementieren, um die Systeme vor Missbrauch zu schützen.

Eine kritische Schwachstelle (CVE-2025-64090) ermöglicht es authentifizierten Angreifern, Befehle über den Hostnamen des betroffenen Geräts auszuführen. Administratoren sollten umgehend einen Patch einspielen, um ihre Systeme vor dieser Sicherheitslücke zu schützen.

Eine kritische Sicherheitslücke (CVE-2025-13619) in dem WordPress Plugin "Flex Store Users" ermöglicht Angreifern das Ausführen von beliebigem Code ohne Authentifizierung. Betreiber sollten das Plugin umgehend aktualisieren, um sich vor Kompromittierung zu schützen.