Tech Blog

Eine bekannte Sicherheitslücke in Telnet ermöglicht es Angreifern, Umgebungsvariablen wie LD_LIBRARY_PATH zu manipulieren und so die normalen Systembibliothe-ken zu umgehen. Dies kann zu einer Eskalation der Rechte bis hin zum Root-Zugriff führen. Die Schwachstelle ist seit über 20 Jahren bekannt, aber leider immer noch nicht in allen Systemen behoben.

Eine Sicherheitslücke im "Simple Flight Ticket Booking System 1.0" ermöglicht es Angreifern, durch Manipulation von Argumenten SQL-Injection-Attacken durchzuführen. Die Schwachstelle ist öffentlich bekannt und kann ferngestellt ausgenutzt werden. Betroffen ist eine unbekannte Funktionalität der Datei "SearchResultRoundtrip.php". Admins sollten das System umgehend aktualisieren, um Schäden durch Ausnutzung der Lücke zu verhindern.

Eine Sicherheitslücke in der Vito-Webanwendung zur Serververwaltung und PHP-Anwendungsbereitstellung ermöglichte es authentifizierten Angreifern mit Schreibzugriff in einem Projekt, Websites auf Servern anderer Projekte zu manipulieren. Die Schwachstelle betraf Versionen vor 3.20.3 und wurde im neuesten Release behoben.

Eine Schwachstelle im WordPress-Plugin "Paid Videochat Turnkey Site - HTML5 PPV Live Webcams" ermöglicht Angreifern mit Autor-Rechten oder höher, sich selbst Administrator-Rechte zu verschaffen. Dies betrifft alle Versionen bis einschließlich 7.3.20. Der Grund ist, dass die Funktion "videowhisper_register_form()" keine Einschränkungen für die Nutzerrollen bei der Registrierung vornimmt. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-8899, CVE-2026-29000).

In der KI-Plattform WeKnora existierte von Version 0.2.5 bis 0.2.10 eine kritische Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglichte, beliebigen Code auszuführen. Trotz Whitelist und Blacklist konnte die Validierung umgangen werden, was zur vollständigen Kompromittierung des Systems führte. Das Problem wurde in Version 0.2.10 behoben.

Eine Sicherheitslücke in den OCPP-WebSocket-Endpunkten eines Herstellers erlaubt es Angreifern, sich ohne Authentifizierung als legitime Ladestation auszugeben. So können sie OCPP-Befehle senden und empfangen und so die Kontrolle über die Ladeinfrastruktur und Daten im Backend übernehmen. Die fehlende Authentifizierung ist ein schwerwiegendes Problem, das dringend behoben werden muss.

Eine kritische Schwachstelle in der Lade-Infrastruktur des E-Mobilitätsanbieters Mobiliti ermöglicht es Angreifern, ohne Authentifizierung OCPP-Befehle an die Ladestationen zu senden. Dadurch können Hacker die Ladevorgänge manipulieren und sogar die Kontrolle über das gesamte Netzwerk erlangen. Betroffen sind alle Ladestationen, die keine ausreichende Authentifizierung für WebSocket-Verbindungen implementiert haben.

In der Open-Source-Vermögensverwaltungssoftware Ghostfolio wurde vor Version 2.244.0 eine kritische SQL-Injection-Schwachstelle (CVE-2026-28785) entdeckt. Durch Umgehen der Symbolvalidierung konnte ein Angreifer beliebige SQL-Befehle über die getHistorical()-Methode ausführen und so sensible Finanzdaten aller Nutzer lesen, ändern oder löschen. Das Problem wurde mit Version 2.244.0 behoben.

Laut Google wurden im letzten Jahr 90 Zero-Day-Schwachstellen ausgenutzt, wobei chinesische Cyberespionage-Gruppen ihre Aktivitäten verdoppelt haben. Fast die Hälfte der Lücken betraf Unternehmens-Technologien wie Sicherheitsgeräte, VPNs und Netzwerk-Komponenten. Auch kommerzielle Überwachungsfirmen übertrafen erstmals staatlich unterstützte Hacker. Unternehmen müssen sich auf schnellere Ausbreitung und härtere Angriffe einstellen, da Angreifer KI zur Beschleunigung nutzen.

Die US-Behörde CISA hat zwei kritische Sicherheitslücken mit CVSS-Score 9.8 in Produkten von Hikvision und Rockwell Automation in ihren Katalog bekannter, aktiv ausgenutzer Schwachstellen aufgenommen. Die Lücken ermöglichen unbefugten Zugriff auf die betroffenen Systeme. Anwender sollten dringend Patches installieren, um ihre Systeme vor Angriffen zu schützen.