Exploit für Citrix Netscaler Lücke CVE-2024-6235 bekannt geworden

Citrix hat am 10. Juli 2024 eine kritische Sicherheitslücke unter der Kennung CVE-2024-6235 in der NetScaler Console bekanntgegeben, die bei Standard­konfigurationen in allen Versionen 14.1 bis einschließlich 14.1-25.53 vorhanden ist. Die Schwachstelle (CWE-287: Improper Authentication) erlaubt es einem nicht authentifizierten Angreifer, über einen internen API-Endpunkt eine gültige Admin-Session-ID auszulesen und damit neue Super-Admin-Konten anzulegen. Rapid7-Forschende verifizierten den Angriff und zählten bei einer Shodan-Abfrage 318 exponierte Installationen, es wurden bereits Exploits von Instanzen beobachtet. Betroffene Anwender sollten umgehend auf NetScaler Console Version 14.1-25.53 oder höher aktualisieren, um das Risiko eines vollständigen Systemübergriffs auszuschließen.

Related Posts

Unzurechender Zugriffsschutz im Drupal-Modul Panels (CVE-2025-3474)

Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.

Read More

Krtische Lücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433)

Eine maximal kritische Sicherheitslücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433) ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen. Betroffen sind alle Installationen mit OTP‑Versionen bis einschließlich 27.3.2, 26.2.5.10 und 25.3.2.19. Durch gezielt manipulierte SSH‑Nachrichten kann ein Angreifer über das Netzwerk volle Kontrolle über den Server erlangen, sensible Daten kompromittieren oder den Dienst lahmlegen. Nutzer sollten umgehend auf die gepatchten Versionen 27.3.3, 26.2.5.11 bzw. 25.3.2.20 aktualisieren. Bis zum Update empfiehlt sich, den SSH‑Dienst abzuschalten oder den Zugriff per Firewall zu beschränken. Entdeckt wurde der Fehler von Fabian Bäumer, Marcel Maehren, Marcus Brinkmann und Jörg Schwenk von der Ruhr‑Universität Bochum.

Read More

PyPI schließt Sicherheitslücke bei „Organizations Team“-Rechten

Am 14. April 2025 wurde das PyPI-Sicherheitsteam auf ein Problem bei der Vergabe von Team-Rechten aufmerksam gemacht: Ehemalige Mitglieder einer Organisation behielten ihre Team-Privilegien, obwohl sie bereits aus der übergeordneten Organisation entfernt worden waren. Nach Prüfung bestätigte PyPI den Fehler, erfasste die betroffenen Fälle und spielte innerhalb von knapp zwei Stunden einen Hotfix aus. Eine anschließende Sicherheitsprüfung ergab, dass kein unautorisierter Zugriff stattgefunden hatte.

Read More