Wissen

Vite CVE-2025-30208: Zugriff auf beliebige Dateien durch ?raw??-Bypass

In mehreren Versionen des beliebten Build-Tools Vite wurde eine Sicherheitslücke (CVE-2025-30208) entdeckt, durch die die Zugriffsbeschränkungen des @fs-Moduls umgangen werden können. Durch Anhängen der Parameter ?raw?? oder ?import&raw?? an eine URL lassen sich beliebige Dateien außerhalb der eigentlich erlaubten Verzeichnisse im Browser anzeigen – darunter auch sensible Systemdateien.

Read More

Kritische Sicherheitslücke in Splunk ermöglicht Remote Code Execution

Splunk hat eine schwerwiegende Sicherheitslücke (CVE-2025-20229) in älteren Versionen von Splunk Enterprise und der Splunk Cloud Platform veröffentlicht. Die Schwachstelle erlaubt es, durch den Upload einer Datei in das Verzeichnis $SPLUNK_HOME/var/run/splunk/apptemp, beliebigen Code auszuführen – und das bereits mit einem niedrig privilegierten Benutzerkonto ohne Admin- oder Power-Rolle. Ursache ist eine fehlende Autorisierungsprüfung, die einen Remote Code Execution (RCE)-Angriff ermöglicht.

Read More

Mögliches Datenleck bei Oracle

Ein mutmaßlicher Hackerangriff auf Oracle sorgt für Aufsehen: Auf dem Forum BreachForums behauptet der Nutzer „Rose87168“, er habe rund sechs Millionen Nutzerdaten aus Oracles LDAP- und SSO-Systemen gestohlen. Oracle dementiert einen Angriff weiterhin entschieden: Es habe keine Sicherheitsverletzung in der Oracle Cloud gegeben, betroffene Daten seien nicht Teil der OCI-Infrastruktur.

Read More

Ghostscript 10.05.0 fixt mehrere kritische SicherheitslĂĽcken

Am 12. März 2025 hat Artifex Software die neue Version Ghostscript 10.05.0 veröffentlicht. Neben funktionalen Verbesserungen behebt das Update gleich acht schwerwiegende Sicherheitslücken (CVE-2025-27830 bis CVE-2025-27837), von denen mehrere als kritisch eingestuft werden. Nutzer*innen von Ghostscript werden dringend aufgefordert, zeitnah auf die neueste Version zu aktualisieren. Alle Schwachstellen basieren auf klassischen Pufferüberläufen (CWE-120), mit Ausnahme von CVE-2025-27837, der ein Path Traversal-Problem (CWE-22) darstellt. Angreifer könnten mit präparierten Eingaben Code ausführen oder auf unautorisierte Dateien zugreifen.

Read More

Hackerangriff auf Swiss Life betrifft Tausende Pensionskassen Kunden

Beim Finanzkonzern Swiss Life ist es zu einem Hackerangriff gekommen, bei dem bis zu 60 Pensionskassen mit rund 13'000 Versicherten betroffen sein könnten. Der Vorfall ereignete sich zwischen dem 15. und 21. Februar 2025 und betraf einen externen SMS-Dienstleister, der für die Zwei-Faktor-Authentifizierung im Kundenportal zuständig ist.

Read More

Kritische Kubernetes-Schwachstelle im Ingress NGINX Controller ermöglicht Clusterübernahme

Am 24. März 2025 wurden mehrere Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes veröffentlicht – darunter die kritische Lücke CVE-2025-1974, die mit einem CVSS-Score von 9.8 bewertet wird. Insgesamt sind fünf Schwachstellen betroffen, von denen vier die Remote Code Execution (RCE) ermöglichen. Sie betreffen vor allem Installationen, bei denen der Validating Admission Controller öffentlich erreichbar ist oder auf anderem Weg kompromittiert werden kann.

Read More

Kritischer Auth-Bypass in Fortinet-Produkten aktiv ausgenutzt (CVE-2024-55591, CVE-2025-24472)

Fortinet warnt vor einer kritischen Sicherheitslücke in FortiOS und FortiProxy, die derzeit aktiv ausgenutzt wird. Die Schwachstellen (CVE-2024-55591 und CVE-2025-24472) ermöglichen es Angreifern, über präparierte Anfragen an das Node.js WebSocket-Modul oder manipulierte CSF-Proxy-Requests die Authentifizierung zu umgehen und Super-Admin-Rechte zu erlangen.

Read More

CVE-2025-29927 Umgehung der Authorisierung in Next.js möglich

Am 21. März 2025 wurde eine kritische Sicherheitslücke (CVE-2025-29927, CVSS 9.1) in Next.js bekannt, die es Angreifern erlaubt, Autorisierungsprüfungen zu umgehen, sofern diese innerhalb von Middleware implementiert sind. Die Schwachstelle betrifft eine Vielzahl von Versionen: konkret alle Releases von Next.js größer als 11.1.4 bis einschließlich 13.5.6, sowie die Versionen >14.0 bis <14.2.25 und >15.0 bis <15.2.3.

Read More

Spring Security – Autorisierungs-Bypass durch fehlerhafte Annotationserkennung (CVE-2025-22223)

Am 19. März 2025 wurde eine mittelschwere Sicherheitslücke (CVE-2025-22223, CVSS 5.3) in Spring Security veröffentlicht. Die Lücke betrifft Anwendungen, die @EnableMethodSecurity nutzen und Methoden mit Sicherheitsannotationen auf parametrisierten Typen oder geerbten Methoden versehen haben – ohne direkte Annotation auf der Zielmethode. In diesem Fall kann es zu einem Autorisierungs-Bypass kommen. Betroffen ist Spring Security 6.4.0 – 6.4.3. Ein Update auf 6.4.4 wird empfohlen.

Read More

VMware-VM-Exploits fĂĽhren zu Hypervisor-Kontrolle und Ransomware-Angriffen

Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.

Read More