Wissen
- Home /
- Wissen
BSI legt umfassende Sicherheitsanalyse zu Passwortmanagern vor
Das BSI hat in einem neuen Bericht eine tiefgehende Sicherheitsbewertung von zehn gängigen Passwortmanagern veröffentlicht – darunter 1Password, KeePassXC, Chrome- und Firefox-Password-Manager sowie mehrere kommerzielle Anbieter. Die Analyse zeigt erhebliche Qualitätsunterschiede und teils kritische Schwächen im Markt. passwortmanager
Read MoreFortinet: Kritische LĂĽcke erlaubt SSO-Bypass via manipuliertem SAML
Fortinet warnt vor einer kritischen Schwachstelle (CVE-2025-59718, CVSS 9.1) in mehreren Produkten, darunter FortiOS, FortiWeb, FortiProxy und FortiSwitchManager. Durch eine fehlerhafte Prüfung kryptografischer Signaturen können Angreifer über manipulierte SAML-Nachrichten die FortiCloud-SSO-Authentifizierung umgehen – sofern die Funktion aktiviert ist.
Read MoreKI-Browser gefährden das offene Web – Tim Berners-Lee warnt vor tektonischem Umbruch
Web-Erfinder Tim Berners-Lee warnt in einem Podcastinterview vor KI-gestützten Browsern, die das Fundament des offenen Internets erschüttern könnten. Systeme wie OpenAIs Atlas, Perplexitys Comet oder die neuen KI-Features in Chrome und Edge liefern Informationen zunehmend direkt – ohne dass Nutzer überhaupt noch Webseiten aufrufen müssen. Für Berners-Lee steht damit das Geschäftsmodell vieler Webangebote und die grundlegende Verlinkungsstruktur des Webs auf dem Spiel.
Read MoreApache HTTP Server: SSI-Schwachstelle CVE-2025-58098 ermöglicht Command-Ausführung
Der Apache HTTP Server war bis einschließlich Version 2.4.65 von einer gefährlichen Schwachstelle betroffen, die Server Side Includes (SSI) in Verbindung mit mod_cgid betrifft. Laut neu veröffentlichtem CVE-Eintrag (CVE-2025-58098) wird die shell-escapte Query-String an #exec cmd="..."-Direktiven weitergereicht – und öffnet so die Tür für das Ausführen beliebiger Befehle.
Read MoreChinesische Hacker attackieren React2Shell-LĂĽcke (CVE-2025-55182) nur Stunden nach Disclosure
Nur wenige Stunden nach der Veröffentlichung der kritischen React-Schwachstelle CVE-2025-55182 („React2Shell“) am 3. Dezember 2025 registrierten Amazons Threat-Intelligence-Teams bereits gezielte Ausnutzungsversuche durch China-stämmige Cybergruppen, darunter Earth Lamia und Jackpot Panda. Die RCE-Lücke (CVSS 10.0) betrifft React-19-Installationen sowie Next.js-15/16-Deployments, die den App Router und React Server Components nutzen.
Read MoreLet’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage
Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.
Read MoreKritische XXE-Schwachstelle in GeoServer entdeckt
In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.
Read MoreKritische ASN.1-Validierungslücke in node-forge ermöglicht Signatur-Bypass
In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.
Read Moreglob CLI: Command-Injection-Lücke durch -c/--cmd ermöglicht Codeausführung
Die npm-Bibliothek glob weist eine schwere Schwachstelle (CVE-2025-64756) in ihrem CLI-Tool auf: Die Option -c/–cmd fĂĽhrt gefundene Dateinamen mit shell:true aus – und ermöglicht so Command Injection, wenn Dateien manipulierte Namen enthalten. Betroffen sind glob-Versionen ab 10.2.0 bis 10.4.x sowie 11.0.x; abgesichert wurde der Fehler in den Releases 10.5.0 und 11.1.0.
Read MoreShai-Hulud 2.0: Neue npm-Supply-Chain-Attacke legt 25.000+ Repos offen
Ein neuer Ableger der Shai-Hulud-Kampagne trifft aktuell das npm-Ökosystem. Angreifer haben teils stark verbreitete Pakete – unter anderem aus den Ökosystemen von Zapier, ENS Domains, PostHog und Postman – mit trojanisierten Versionen kompromittiert, so berichtet der Security Blog von WIZ. Diese werden zwischen dem 21. und 23. November 2025 auf npm eingestellt und führen beim Installieren im preinstall-Schritt Credential-Stealer-Code aus.
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-CodeausfĂĽhrung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- SicherheitslĂĽcke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- SĂĽdafrika
- Ubuntu
- Updates
- VerfĂĽgbarkeit
- VerschlĂĽsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland