Wissen

Kritische Remote Code Execution Schwachstelle in Moodle - CVE-2025-67847

In Moodle wurde eine kritische Schwachstelle entdeckt, die es Angreifern mit Zugang zur Wiederherstellungsfunktion ermöglicht, beliebigen Code auf dem Server auszuführen. Die Sicherheitslücke (CVE-2025-67847) betrifft alle Versionen bis einschließlich 5.1.1 und erhält einen CVSS-Score von 8.8 (High). Das Problem liegt in einer unzureichenden Validierung bei der Verarbeitung von Wiederherstellungs-Eingaben, wodurch Restore-Routinen unbeabsichtigte Befehle interpretieren und ausführen können.

Read More

Kritische Sicherheitslücke in Laravel Reverb: Remote Code Execution durch unsichere Deserialisierung

Betroffene Versionen: Laravel Reverb < 1.7.0 Schweregrad: Kritisch (CVSS 9.8) CVE: CVE-2026-23524

Read More

node-tar: Race Condition durch Unicode-Kollisionen auf macOS ermöglicht File Overwrite

Im npm-Paket tar (node-tar) wurde eine sicherheitsrelevante Race-Condition-Schwachstelle entdeckt, die speziell macOS-Systeme mit APFS- oder HFS+-Dateisystemen betrifft. Die Lücke ist als GHSA-r6q2-hw4h-h46w veröffentlicht und betrifft alle Versionen bis einschließlich 7.5.3. Version 7.5.4 schließt das Problem.

Read More

Modular DS schließt kritische Privilege-Escalation-Lücke im Modular Connector

Modular DS hat Sicherheitsupdates für den Modular Connector veröffentlicht. Die Versionen 2.5.2 (14. Januar 2026) und 2.6.0 (16. Januar 2026) beheben eine kritische Schwachstelle, die im Rahmen der Untersuchung eines Sicherheitsvorfalls vom 14. Januar identifiziert wurde. Die Lücke ist als CVE-2026-23550 registriert und wird mit dem maximalen CVSS-Score von 10.0 bewertet.

Read More

glob CLI erlaubt Command Injection über -c/--cmd-Option

Im npm-Paket glob wurde eine schwerwiegende Command-Injection-Schwachstelle in der Kommandozeilenoberfläche entdeckt. Betroffen sind die Versionen >= 10.2.0 bis < 10.5.0 sowie 11.0.x. Die Lücke ist unter CVE-2025-64756 registriert und wird mit hohem Schweregrad (CVSS 8.8) bewertet.

Read More

Kritische Schwachstelle im WordPress-Plugin „Restrict Content“ legt Stripe-Geheimnisse offen

Im WordPress-Plugin Membership Plugin – Restrict Content wurde eine schwerwiegende Sicherheitslücke entdeckt, die alle Versionen bis einschließlich 3.2.16 betrifft. Die unter CVE-2025-14844 geführte Schwachstelle erlaubt aufgrund fehlender Authentifizierungs- und Berechtigungsprüfungen einen unautorisierten Zugriff auf sensible Daten.

Read More

Facebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik

Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.

Read More

MOVEit WAF: Zwei kritische Command-Injection-Schwachstellen geschlossen

Progress hat zwei schwerwiegende Sicherheitslücken in MOVEit WAF veröffentlicht, die als CVE-2025-13444 und CVE-2025-13447 geführt werden. Beide Schwachstellen ermöglichen über die Weboberfläche oder API eine Command Injection und können in der Folge zu Remote Code Execution führen.

Read More

Reprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse

Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.

Read More

„Truman Show“-Scam: KI-generierte Scheinwelt tarnt großangelegten Investmentbetrug

Sicherheitsforscher des Harmony Mobile Detection Teams haben eine hochentwickelte Investmentbetrugs-Kampagne mit dem Namen OPCOPRO offengelegt, die vollständig auf KI-gestützter Social Engineering basiert. Die Angreifer nutzen legitime Android- und iOS-Apps aus offiziellen App-Stores sowie künstlich erzeugte WhatsApp- und Telegram-Communities, um Opfer über Wochen hinweg in eine kontrollierte Scheinrealität zu ziehen.

Read More