Wissen

Kritische Sicherheitslücke in Akana API Management Plattform

Eine schwerwiegende Sicherheitslücke wurde in der Akana Community Manager Developer Portal, einer populären API-Management-Plattform, identifiziert. Die Schwachstelle, bekannt unter der CVE-Nummer 2024-2796 mit CVE Index 9.3 / 10, ermöglichte eine Server-seitige Anfragefälschung (SSRF).

Read More

SQL-Injection in allen Grafana-Versionen möglich

Eine kritische Sicherheitslücke, die alle Versionen der Open-Source-Plattform Grafana für Monitoring und Observabilität betrifft, wurde kürzlich auf dem Blog von fdvoid0 bekannt gegeben. Die Schwachstelle ermöglicht es durch SQL-Injection, unautorisierten Zugriff auf Daten zu erlangen.

Read More

Sicherheitslücke in GitLab und GitHub ermöglicht Malware-Verbreitung über CDN

Eine kürzlich von BleepingComputer aufgedeckte Sicherheitslücke in den Plattformen GitHub und nun auch GitLab zeigt, wie Cyberkriminelle durch eine sogenannte “GitHub-artige CDN-Schwachstelle” Malware verteilen können. Diese Schwachstelle erlaubt es Angreifern, über die Kommentarfunktion schädliche Software zu verbreiten.

Read More

Citrix uberAgent: Schwachstelle könnte zu Rechteausweitung führen

Citrix hat eine Sicherheitslücke in seiner Monitoring Software uberAgent identifiziert, die es Angreifern ermöglichen könnte, ihre Privilegien innerhalb des Systems unzulässig zu erhöhen. Die Schwachstelle trägt die Kennzeichnung CVE-2024-3902 und wurde mit einem hohen Schweregrad eingestuft.

Read More

Nespresso Website Open Redirect Schwachstelle für Phishing ausgenutzt

Im April 2024 entdeckte Perception Point einen Phishing-Feldzug, bei demCyberkriminelle eine offene Open Redirect Schwachstelle der Nespresso-Webseite ausnutzen, um Benutzer auf gefälschte Anmeldeseiten zu locken und ihre Microsoft-Anmeldedaten zu stehlen.

Read More

Laravel: Diebstahl der Datenbank Credentials möglich

Eine hochriskante Sicherheitslücke wurde in verschiedenen Versionen des beliebten Laravel Frameworks entdeckt, die es Angreifern ermöglicht, sensible Datenbankzugangsdaten auszuspähen. Die Schwachstelle, bekannt unter CVE-2024-29291, betrifft die Versionen 8.* bis 11.* und hat bereits zu Besorgnis in der Entwicklergemeinschaft geführt.

Read More

DNS Cache Poisoning

DNS-Cache-Poisoning, auch bekannt als DNS-Spoofing, ist ein Angriffstyp, bei dem ein Angreifer falsche Einträge in den DNS-Cache eines DNS-Servers einschleust. Diese falschen Einträge führen dazu, dass Nutzer, die versuchen, eine legitime Website zu erreichen, stattdessen auf eine vom Angreifer kontrollierte bösartige Seite umgeleitet werden. Dies kann dazu benutzt werden, um persönliche Daten zu stehlen, Malware zu verbreiten oder den Datenverkehr zu überwachen. Der Angriff nutzt Sicherheitslücken im DNS-Protokoll aus, um den Cache des Servers mit gefälschten Adresszuweisungen zu „vergiften“.

Read More

Microsoft installiert heimlich Telemetrie Wrapper um Store-Apps

In einer kürzlich durchgeführten Untersuchung von Rafael Rivera wurde festgestellt, dass Microsoft begonnen hat, Anwendungen aus seinem Store in speziellen .NET-Wrappern zu verpacken. Diese Entwicklung könnte tiefgreifende Auswirkungen auf die Sicherheit und Funktionalität dieser Apps haben.

Read More

Raysharp Überwachungskameras: 3 Milliarden Datensätze offen im Netz

Laut einem Bericht von Cybernews.com kam es beim chinesischen Überwachungskamera Hersteller Raysharp auf Grund einer ungeschützten Elasticsearch-Server Konfiguration zu einem Datenleck, bei dem 3 Milliarden Datensätze im Netz frei zugänglich waren.

Read More

CrushFTP Schwachstelle erlaubt Download von Systemdateien

Am 19. April 2024 hat CrushFTP, eine weit verbreitete Enterprise FTP-Client Lösung, eine kritische Sicherheitswarnung herausgegeben. In Versionen von CrushFTP v11 unterhalb von 11.1 wurde eine Schwachstelle entdeckt, die es Nutzern ermöglicht, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Diese Sicherheitslücke wurde in der neuesten Version 11.1.0 behoben.

Read More