Wissen

Gefährliche Path-Traversal-Lücke in WinRAR geschlossen

In WinRAR-Versionen bis einschließlich 7.12 für Windows wurde eine kritische Path-Traversal-Sicherheitslücke (CVE-2025-8088, CVSS 8.4) entdeckt, die Angreifern das Ausführen beliebigen Codes über manipulierte Archivdateien ermöglicht. Die Schwachstelle wurde bereits aktiv ausgenutzt und von ESET-Forschern aufgedeckt. Betroffen sind auch die Windows-Versionen von RAR, UnRAR sowie die portable UnRAR-Quelle und UnRAR.dll. Nutzer sollten umgehend auf WinRAR 7.13 oder neuer aktualisieren. Linux-, macOS- und Android-Versionen sind nicht betroffen.

Read More

Kritische Sicherheitslücke CVE-2025-52709 in WordPress-Plugin Everest Forms

Das WordPress-Plugin Everest Forms (Versionen ≤ 3.2.2) weist eine hochgefährliche Sicherheitslücke (CVE-2025-52709, CVSS 9.8) auf. Die Schwachstelle ermöglicht eine PHP Object Injection, über die Angreifer unter anderem Code- oder SQL-Injektionen, Path Traversal oder Denial-of-Service-Angriffe ausführen könnten – auch ohne Authentifizierung. Patchstack warnt vor einer baldigen massenhaften Ausnutzung und stuft die Priorität als hoch ein. Betreiber sollten sofort auf Version 3.2.3 oder neuer aktualisieren.

Read More

Microsoft gesteht fehlende Garantie für EU-Datenschutz

Bei einer Anhörung vor dem französischen Senat räumte Anton Carniaux, Chefjustiziar von Microsoft France, ein, dass der Konzern nicht garantieren könne, EU-Daten niemals an US-Behörden weiterzugeben. Hintergrund sind gesetzliche Pflichten nach dem US-CLOUD Act und Patriot Act. Zwar prüfe Microsoft jedes Auskunftsersuchen genau und habe bislang keine Daten aus Frankreich weitergegeben, bei formal korrekten Anfragen sei das Unternehmen jedoch zur Herausgabe verpflichtet. Die Aussage befeuert EU-weit die Debatte über digitale Souveränität und den Einsatz von US-Cloud-Diensten wie Microsoft, Amazon AWS oder Google Cloud.

Read More

Kabinett beschließt Umsetzung der NIS-2-Richtlinie – mehr Cybersicherheit für Deutschland

Die Bundesregierung hat am 30. Juli 2025 die Umsetzung der europäischen NIS-2-Richtlinie beschlossen. Ziel ist es, die digitale Sicherheit in Wirtschaft und Verwaltung deutlich zu stärken und europäische Sicherheitsstandards in deutsches Recht zu überführen.

Read More

Hackergruppe LightBasin schmuggelt 4G-Raspberry Pi in Banknetz

Die berüchtigte Hackergruppe UNC2891 (LightBasin) hat in einem hochentwickelten Angriff einen mit 4G ausgestatteten Raspberry Pi in das interne Netzwerk einer Bank eingeschleust, wie BleepingComputer am 30. Juli 2025 berichtet.

Read More

CERT@VDE wird erste CVE Numbering Authority Deutschlands

Das CERT@VDE ist seit Juli 2025 offiziell Deutschlands erste Root-CNA (CVE Numbering Authority) im internationalen CVE-System. Damit übernimmt die Plattform eine Schlüsselrolle in der globalen Koordination von Sicherheitslücken in Industrieprodukten und wird zur zentralen Vergabestelle für CVE-IDs im deutschsprachigen Raum.

Read More

Apple veröffentlicht iOS und Safari 18.6 mit wichtigen Sicherheitsupdates

Am 29. Juli 2025 hat Apple iOS 18.6 und Safari 18.6 veröffentlicht und dabei zahlreiche sicherheitsrelevante Schwachstellen behoben. Die Updates betreffen Geräte ab dem iPhone XS und vergleichbare iPad-Modelle.

Read More

Replit löscht Produktionsdatenbank – Gründer von SaaStr erhebt schwere Vorwürfe

Laut einem Bericht von The Register wirft Jason Lemkin, Gründer der SaaS-Community SaaStr, dem KI-Coding-Tool Replit vor, seine Produktionsdatenbank ohne Erlaubnis gelöscht zu haben – trotz ausdrücklicher Anweisung, keinen Code zu verändern. Replit, das sich selbst als „sicherster Ort für Vibe Coding“ vermarktet, soll außerdem fehlerhafte Daten generiert, Unit-Tests manipuliert und wiederholt Anweisungen missachtet haben.

Read More

CVE-2025-40599: Kritische Sicherheitslücke in SonicWall SMA 100

SonicWall warnt vor einer schweren Sicherheitslücke (CVE-2025-40599) in der SMA 100-Serie (SMA 210, 410, 500v), die es Angreifern mit Administratorrechten erlaubt, beliebige Dateien hochzuladen – mit potenzieller Folge einer Remote-Code-Ausführung. Die Schwachstelle wird mit einem CVSS-Score von 9.1 bewertet.

Read More

Sophos schließt fünf kritische Schwachstellen in Sophos Firewall

Sophos hat am 21. Juli 2025 insgesamt fünf Sicherheitslücken in seiner Sophos Firewall-Software behoben, darunter zwei als kritisch eingestufte Schwachstellen (CVE-2025-6704, CVE-2025-7624). Die Lücken ermöglichen unter bestimmten Umständen Remote Code Execution (RCE) – teils sogar ohne Authentifizierung.

Read More