Wissen
- Home /
- Wissen
CrushFTP: PoC für kritische Sicherheitslücken (CVE-2025-32102 und CVE-2025-32103)
Für die bekannten Sicherheitslücken CVE-2025-32102 (Server-Side Request Forgery) und CVE-2025-32103 (Directory Traversal) in CrushFTP wurde nun ein öffentlicher Proof of Concept (PoC) publiziert. Die Schwachstellen betreffen die Versionen von CrushFTP 9.x bis 10.8.4 sowie 11.x bis 11.3.1 und erlauben potenziell einem Angreifer die Ausführung von Schadcode aus der Ferne.
Read MoreMeta trainiert KI nun auch in Europa mit Userdaten
Meta verkündet die europaweite Nutzung öffentlicher Inhalte erwachsener Nutzerinnen und Nutzer zur KI-Trainingserweiterung – und stößt damit aus DSGVO-Sicht auf Skepsis. Zwar verspricht das Unternehmen, keine privaten Nachrichten oder Daten von Minderjährigen einzubeziehen und gewährt EU-Nutzenden ein Widerspruchsrecht. Es ist zu bemängeln, dass ein Opt-out-Verfahren (statt eines expliziten Opt-ins) den Transparenz- und Einwilligungsprinzipien der DSGVO nicht vollständig gerecht wird. Auch die Frage, ob Meta die gesammelten Interaktionen wirklich nur für die angekündigten Zwecke nutzt, bleibt offen. Bereits letztes Jahr berichteten wir, Meta per Opt-Out bei Facebook gängige Einwilligungsprinzipien der DSGVO missachtet hat, seitdem hat sich nicht viel an Meta’s Vorgehen getan.
Read MoreKritische Sicherheitslücke in jupyter-remote-desktop-proxy bei Nutzung von TigerVNC
In der Python-Bibliothek jupyter-remote-desktop-proxy wurde eine schwerwiegende Sicherheitslücke entdeckt. Die betroffene Version 3.0.0 war so konzipiert, dass sie ausschließlich UNIX-Sockets verwendet, um VNC-Verbindungen ausschließlich für den aktuellen Benutzer zugänglich zu machen. Wird jedoch TigerVNC als VNC-Server eingesetzt, ist die Verbindung fälschlicherweise über das Netzwerk erreichbar, was das ursprüngliche Sicherheitskonzept unterläuft.
Read MoreUnzurechender Zugriffsschutz im Drupal-Modul Panels (CVE-2025-3474)
Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.
Read More4.4 Mio Datensätze bei WooCommerce Datenleck gestohlen
Laut einem Bericht von Hackread hat ein Hacker namens „Satanic“ über 4,4 Millionen Datensätze von Nutzern WooCommerce-basierter Shops gestohlen. Die Daten – darunter E-Mails, Telefonnummern und Geschäftsinformationen – sollen nicht direkt aus WooCommerce stammen, sondern über unsichere Drittanbieter-Integrationen wie CRM- oder Marketingtools abgegriffen worden sein. Betroffen sind auch namhafte Organisationen wie NVIDIA, NIST und Texas.gov.
Read MoreDatenleck: 541.000 Bilder aus LGBTQ+ und BDSM-Dating-Apps öffentlich zugänglich
Eine Untersuchung von Cybernews hat einen massiven Datenschutzvorfall bei mehreren iOS-Dating-Apps für die BDSM-, LGBTQ+- und Sugar-Dating-Community aufgedeckt. Die betroffenen Apps – darunter BDSM People, CHICA, TRANSLOVE, PINK und BRISH – hatten sensible Zugangsdaten wie API-Keys und Cloud-Zugangsinformationen ungeschützt im App-Code hinterlegt. Dadurch waren private Nutzerfotos über ungesicherte Google Cloud Storage Buckets öffentlich zugänglich.
Read MoreKritische Schwachstellen in Dell PowerScale OneFS
Dell hat im Security Advisory DSA-2025-119 mehrere schwerwiegende Sicherheitslücken in seinem PowerScale OneFS-Betriebssystem bekannt gegeben. Die Schwachstellen betreffen verschiedene OneFS-Versionen zwischen 9.4.0.0 und 9.10.1.0 und ermöglichen Angreifern unter anderem Remote Code Execution, nicht autorisierten Systemzugriff, Denial of Service und Informationslecks.
Read MoreKritische Schwachstellen in HPE Aruba AOS
Am 8. April 2025 hat Hewlett Packard Enterprise in einem Sicherheitsbulletin (HPESBNW04845 rev.1) mehrere schwerwiegende Schwachstellen in HPE Aruba Networking AOS-10 und AOS-8 bekanntgegeben. Die betroffenen Komponenten umfassen Mobility Conductors, Controller und Gateways, einschließlich WLAN- und SD-WAN-Gateways, die über Aruba Central verwaltet werden.
Read MoreKritische Schwachstellen in Junos Space durch Update behoben
Im April-Sicherheitsbulletin 2025 informiert Juniper Networks über die Behebung mehrerer kritischer Sicherheitslücken in seiner Plattform Junos Space durch das Update auf die Version 24.1R3. Die Schwachstellen wurden durch Aktualisierungen von Drittanbieter-Komponenten innerhalb der Software geschlossen. Betroffen sind alle Versionen vor 24.1R3.
Read MoreCVE-2024-26013: fehlende Überprüfung von Zertifikatsnamen bei FGFM-Verbindungen bei Fortinet
Eine neu entdeckte Schwachstelle mit der Kennung CVE-2024-26013 und CVE-2024-50565 betrifft eine breite Produktpalette von Fortinet, darunter FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice und FortiWeb. Laut dem am 8. April 2025 veröffentlichten Fortinet-Sicherheitshinweis (FG-IR-24-046) besteht die Lücke in einer fehlenden Überprüfung von Zertifikatsnamen bei FGFM-Verbindungen (FortiGate-Fabric-Management).
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-Codeausführung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- Sicherheitslücke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- Südafrika
- Ubuntu
- Updates
- Verfügbarkeit
- Verschlüsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland