Tech Blog

Eine kritische Sicherheitslücke in der PHP-Anwendung ThemeREX Invetex ermöglicht es Angreifern, beliebigen Quellcode auf dem Server auszuführen. Die Schwachstelle betrifft Versionen bis einschließlich 2.18 und kann für Remote-Code-Execution missbraucht werden. Admins sollten dringend ein Update auf eine nicht betroffene Version durchführen, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-28031, CVE-2026-28029, CVE-2026-28025, CVE-2026-28021).

Eine kritische Schwachstelle im ThemeREX Kayon Plugin erlaubt es Angreifern, lokal Dateien auf dem Server einzubinden. Dies kann zu Remote Code Execution führen. Betroffen sind Versionen bis einschließlich 1.3. Sicherheitsexperten empfehlen dringend ein Update auf die neueste Version, um die Lücke zu schließen.

Eine Sicherheitslücke im WordPress-Plugin "ThemeREX Nuts" ermöglicht es Angreifern, lokal gespeicherte PHP-Dateien einzubinden und damit potenziell die Kontrolle über den Server zu erlangen. Betroffen sind alle Versionen von Nuts bis einschließlich 1.10. Admins sollten das Plugin umgehend aktualisieren, um ihre Systeme vor Missbrauch zu schützen.

Eine kritische PHP-Sicherheitslücke mit einem Schweregrad von 8.1 wurde im ThemeREX Manoir-Plugin entdeckt. Angreifer können durch die Schwachstelle eine lokale Dateieinbindung (LFI) ausführen. Das Plugin ist von Version n/a bis einschließlich 1.11 betroffen. Administratoren sollten das Plugin umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke in der Open-Source-Git-Plattform Gogs erlaubt es Angreifern, Dateien über verschiedene Repositories hinweg zu überschreiben. Dies kann zu Supply-Chain-Angriffen führen. Das Problem wurde in Version 0.14.2 behoben.

Eine kritische Sicherheitslücke (CVE-2026-26022) in der Open-Source-Git-Plattform Gogs ermöglichte vor Version 0.14.2 das Injizieren von bösartigem JavaScript durch authentifizierte Nutzer. Das Problem betraf die Kommentar- und Ticket-Beschreibungsfunktionalität und wurde durch einen mangelhaften HTML-Sanitizer verursacht. Der Patch in Version 0.14.2 behebt diese Schwachstelle vom Typ Stored Cross-Site Scripting (XSS).

Eine kritische Speicherleck-Schwachstelle mit einem Schweregrad von 8.8 wurde in macOS, iOS und iPadOS sowie Safari entdeckt. Durch die Verarbeitung von bösartig gestalteten Webinhalten kann es zu Speicherbeschädigung und möglicherweise sogar Schadcode-Ausführung kommen. Apple hat die Lücke in den Versionen 13.5, 16.6 und 16.6 geschlossen. Sicherheitsadministratoren sollten ihre Systeme umgehend aktualisieren, um Angriffe zu verhindern.

Eine kritische Schwachstelle mit dem CVE-Bezeichner CVE-2021-22681 wurde in den Versionen 21 und höher von Rockwell Automation Studio 5000 Logix Designer sowie in den Versionen 16 bis 20 von RSLogix 5000 entdeckt. Unbefugte Angreifer können die Authentifizierung umgehen und sich mit verschiedenen Logix-Controllern verbinden. Dies ermöglicht den Zugriff auf industrielle Steuerungssysteme. Betroffene Anwender sollten so schnell wie möglich auf die aktuellen, sicheren Versionen der Software aktualisieren.

Eine kritische Sicherheitslücke im PHP-Programm M.Williamson ermöglicht es Angreifern, lokal Dateien einzubinden. Betroffen sind alle Versionen von M.Williamson bis einschließlich 1.2.11. Admins sollten dringend ein Update auf die neueste Version durchführen, um ihre Systeme vor Angriffen zu schützen.

Vor Version 2026.2.14 von OpenClaw enthält die Google Chat-Überwachungskomponente eine Sicherheitslücke bei der Webanfrage-Weiterleitung. Angreifer können die Semantik der Erstanfrage-Verifizierung ausnutzen, um Webhook-Ereignisse unter falschen Kontexten zu verarbeiten und so Allowlists und Sitzungsrichtlinien zu umgehen. Dies ermöglicht eine unberechtigte Kontexteskalation.