Wissen

BSI legt umfassende Sicherheitsanalyse zu Passwortmanagern vor

Das BSI hat in einem neuen Bericht eine tiefgehende Sicherheitsbewertung von zehn gängigen Passwortmanagern veröffentlicht – darunter 1Password, KeePassXC, Chrome- und Firefox-Password-Manager sowie mehrere kommerzielle Anbieter. Die Analyse zeigt erhebliche Qualitätsunterschiede und teils kritische Schwächen im Markt. passwortmanager

Read More

Fortinet: Kritische LĂĽcke erlaubt SSO-Bypass via manipuliertem SAML

Fortinet warnt vor einer kritischen Schwachstelle (CVE-2025-59718, CVSS 9.1) in mehreren Produkten, darunter FortiOS, FortiWeb, FortiProxy und FortiSwitchManager. Durch eine fehlerhafte Prüfung kryptografischer Signaturen können Angreifer über manipulierte SAML-Nachrichten die FortiCloud-SSO-Authentifizierung umgehen – sofern die Funktion aktiviert ist.

Read More

KI-Browser gefährden das offene Web – Tim Berners-Lee warnt vor tektonischem Umbruch

Web-Erfinder Tim Berners-Lee warnt in einem Podcastinterview vor KI-gestützten Browsern, die das Fundament des offenen Internets erschüttern könnten. Systeme wie OpenAIs Atlas, Perplexitys Comet oder die neuen KI-Features in Chrome und Edge liefern Informationen zunehmend direkt – ohne dass Nutzer überhaupt noch Webseiten aufrufen müssen. Für Berners-Lee steht damit das Geschäftsmodell vieler Webangebote und die grundlegende Verlinkungsstruktur des Webs auf dem Spiel.

Read More

Apache HTTP Server: SSI-Schwachstelle CVE-2025-58098 ermöglicht Command-Ausführung

Der Apache HTTP Server war bis einschließlich Version 2.4.65 von einer gefährlichen Schwachstelle betroffen, die Server Side Includes (SSI) in Verbindung mit mod_cgid betrifft. Laut neu veröffentlichtem CVE-Eintrag (CVE-2025-58098) wird die shell-escapte Query-String an #exec cmd="..."-Direktiven weitergereicht – und öffnet so die Tür für das Ausführen beliebiger Befehle.

Read More

Chinesische Hacker attackieren React2Shell-LĂĽcke (CVE-2025-55182) nur Stunden nach Disclosure

Nur wenige Stunden nach der Veröffentlichung der kritischen React-Schwachstelle CVE-2025-55182 („React2Shell“) am 3. Dezember 2025 registrierten Amazons Threat-Intelligence-Teams bereits gezielte Ausnutzungsversuche durch China-stämmige Cybergruppen, darunter Earth Lamia und Jackpot Panda. Die RCE-Lücke (CVSS 10.0) betrifft React-19-Installationen sowie Next.js-15/16-Deployments, die den App Router und React Server Components nutzen.

Read More

Let’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage

Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.

Read More

Kritische XXE-Schwachstelle in GeoServer entdeckt

In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.

Read More

Kritische ASN.1-Validierungslücke in node-forge ermöglicht Signatur-Bypass

In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.

Read More

glob CLI: Command-Injection-Lücke durch -c/--cmd ermöglicht Codeausführung

Die npm-Bibliothek glob weist eine schwere Schwachstelle (CVE-2025-64756) in ihrem CLI-Tool auf: Die Option -c/–cmd fĂĽhrt gefundene Dateinamen mit shell:true aus – und ermöglicht so Command Injection, wenn Dateien manipulierte Namen enthalten. Betroffen sind glob-Versionen ab 10.2.0 bis 10.4.x sowie 11.0.x; abgesichert wurde der Fehler in den Releases 10.5.0 und 11.1.0.

Read More

Shai-Hulud 2.0: Neue npm-Supply-Chain-Attacke legt 25.000+ Repos offen

Ein neuer Ableger der Shai-Hulud-Kampagne trifft aktuell das npm-Ökosystem. Angreifer haben teils stark verbreitete Pakete – unter anderem aus den Ökosystemen von Zapier, ENS Domains, PostHog und Postman – mit trojanisierten Versionen kompromittiert, so berichtet der Security Blog von WIZ. Diese werden zwischen dem 21. und 23. November 2025 auf npm eingestellt und führen beim Installieren im preinstall-Schritt Credential-Stealer-Code aus.

Read More