Wissen

Sicherheitswarnung: Drei kritische Schwachstellen in Apache Tomcat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor drei Sicherheitslücken in Apache Tomcat und Tomcat Native, die es entfernten Angreifern ermöglichen, Sicherheitsmechanismen zu umgehen und sensible Informationen offenzulegen. Das BSI stuft alle drei als kritisch ein – höher als Apache selbst, was auf die weite Verbreitung der Software zurückzuführen sein dürfte.

Read More

EuGH: FingerabdrĂĽcke und Fotos nicht auf Vorrat

Der Europäische Gerichtshof hat am Donnerstag klargestellt, dass Polizeibehörden biometrische Daten wie Fingerabdrücke oder Lichtbilder nicht routinemäßig bei jeder Festnahme erheben dürfen. Das Urteil (C-371/24) setzt der verbreiteten Praxis einer automatischen erkennungsdienstlichen Behandlung enge Grenzen.

Read More

EuGH begrenzt Missbrauch von DSGVO-Auskunftsrechten

Der Europäische Gerichtshof hat in einem aktuellen Urteil (C-526/24) klargestellt, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht schrankenlos gilt. Wer Auskunftsanfragen gezielt stellt, um daraus Schadenersatzforderungen zu konstruieren, kann als Rechtsmissbraucher eingestuft werden – und geht dann leer aus.

Read More

NLTK-Downloader erlaubt Ăśberschreiben beliebiger Dateien (CVE-2026-33236)

Die beliebte Python-Bibliothek NLTK (Natural Language Toolkit) weist in allen Versionen bis einschliesslich 3.9.2 eine kritische Path-Traversal-Schwachstelle auf. Der NLTK-Downloader prüft beim Verarbeiten von XML-Indexdateien die Attribute subdir und id nicht auf gefährliche Zeichenfolgen wie ../. Ein Angreifer, der einen eigenen XML-Indexserver betreibt, kann dadurch Opfer dazu bringen, beim Ausführen eines scheinbar harmlosen downloader.download()-Aufrufs beliebige Dateien auf deren System zu erstellen oder zu überschreiben – darunter potenziell sensitive Systemdateien wie /etc/passwd oder SSH-Schlüssel.

Read More

Medizintechnik-Konzern Stryker: Iranische Gruppe löscht 200.000 Geräte über Intune

Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More

Kritische Sicherheitslücke im WordPress-Plugin „Drag and Drop Multiple File Upload – Contact Form 7"

Wer auf seiner WordPress-Seite das Plugin Drag and Drop Multiple File Upload – Contact Form 7 in Version 1.3.9.5 oder älter einsetzt, sollte umgehend handeln. Die am 5. März 2026 veröffentlichte Schwachstelle (CVE-2026-3459) erlaubt es völlig unbekannten, nicht eingeloggten Angreifern, beliebige Dateien auf den Webserver hochzuladen – ohne jegliche Authentifizierung. Im schlimmsten Fall kann darüber schadhafter Code direkt auf dem Server ausgeführt werden, was eine vollständige Kompromittierung der Website bedeutet. Der CVSS-Score liegt bei 8.1 (Hoch).

Read More

Sandbox-Escape in n8n ermöglicht vollständige Systemübernahme

Authentifizierte Nutzer können bösartigen Code aus der JavaScript-Sandbox ausbrechen lassen – mit potenziell verheerenden Folgen für selbst gehostete Instanzen.

Read More

Directory Traversal Schwachstelle in rollup (CVE-2026-27606)

Am 25. Februar 2026 wurde eine ernste Schwachstelle im JavaScript-Bundler rollup veröffentlicht. Betroffen sind alle Versionen unter 2.80.0, 3.30.0 bzw. 4.59.0 – je nach eingesetztem Versionszweig. Der CVSS-Score liegt bei 8.5 (hoch), ein Proof-of-Concept-Exploit existiert bereits.

Read More

Microsoft Copilot: KI-Assistent mit SicherheitslĂĽcken

Microsoft Copilot ist tief in Microsoft 365 integriert und hat Zugriff auf praktisch alles, was ein Mitarbeiter sehen kann – E-Mails, SharePoint-Dokumente, Teams-Chats. Genau das ist das Problem: In den meisten Unternehmen haben Mitarbeiter weit mehr Zugriffsrechte als nötig. Laut einem Bericht von Concentric AI sind 16 % aller geschäftskritischen Daten übermäßig geteilt, im Schnitt rund 800.000 Dateien pro Organisation. Copilot erbt diese Berechtigungen – und kann damit ungewollt zum Datenleck werden.

Read More