Kritische Rancher-Sicherheitslücke ermöglicht Passwortänderung ohne Berechtigung

Eine kritische Sicherheitslücke (CVE-2025-23391) in Rancher ermöglicht es eingeschränkten Administratoren, die Passwörter von vollberechtigten Administratoren zu ändern und so deren Konten zu übernehmen. Betroffen sind Rancher-Versionen ab 2.8.0 bis vor 2.8.14, ab 2.9.0 bis vor 2.9.8, ab 2.10.0 bis vor 2.10.4 sowie Versionen unter 2.11.0. Die Lücke wurde in den Versionen 2.8.14, 2.9.8, 2.10.4 und 2.11.0 behoben. Anwender sollten umgehend auf die gepatchte Version upgraden, um das Risiko eines unautorisierten Zugriffs zu vermeiden.

Related Posts

RCE Schwachstelle in HPE Aruba Networking VIA Clients

HPE Aruba Networking hat am 1. April 2025 ein Sicherheitsupdate veröffentlicht, das zwei signifikante Schwachstellen in ihrem VIA Client adressiert. Die offizielle Sicherheitsmitteilung, herausgegeben vom Aruba Security Incident Response Team (SIRT), betrifft Kunden, die HPE Aruba Networking VIA Clients in den Versionen 4.7.0 und darunter nutzen.

Read More

Ghostscript 10.05.0 fixt mehrere kritische Sicherheitslücken

Am 12. März 2025 hat Artifex Software die neue Version Ghostscript 10.05.0 veröffentlicht. Neben funktionalen Verbesserungen behebt das Update gleich acht schwerwiegende Sicherheitslücken (CVE-2025-27830 bis CVE-2025-27837), von denen mehrere als kritisch eingestuft werden. Nutzer*innen von Ghostscript werden dringend aufgefordert, zeitnah auf die neueste Version zu aktualisieren. Alle Schwachstellen basieren auf klassischen Pufferüberläufen (CWE-120), mit Ausnahme von CVE-2025-27837, der ein Path Traversal-Problem (CWE-22) darstellt. Angreifer könnten mit präparierten Eingaben Code ausführen oder auf unautorisierte Dateien zugreifen.

Read More

Kritische Sicherheitslücke in CrushFTP ermöglicht unautorisierte Zugriffe (CVE-2025-2825)

In den Versionen 10.0.0 bis 10.8.3 sowie 11.0.0 bis 11.3.0 der Filetransfer-Software CrushFTP wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle erlaubt es Angreifern, über unauthentifizierte HTTP-Anfragen Zugriff auf das System zu erlangen – ohne Login.

Read More