Wissen

KLEO-Theme-Plugin: Kritische Privilegieneskalations-Lücke behoben

Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.

Read More

Leak der BlackBasta-Chatlogs: Operative Einblicke in eine Ransomware-Gruppe

Interne Chat-Diskussionen des BlackBasta-Ransomware-Syndikats wurden kürzlich geleakt und liefern detaillierte Einblicke in die Arbeitsweise der Gruppe. Die Analyse ergab insgesamt 197.601 Nachrichten, verteilt auf 50 einzigartige Nutzer und 79 Chat-Räume, mit einem Beobachtungszeitraum vom 18. September 2023 bis 28. September 2024.

Read More

CVE-2025-1094: Kritische SQL-Injection-Schwachstelle in PostgreSQL psql behoben

Rapid7 entdeckte eine SQL-Injection-Schwachstelle in dem PostgreSQL-Tool psql. Die Sicherheitslücke, CVE-2025-1094, macht es möglich, trotz Verwendung der integrierten String-Escaping-Routinen durch die Verarbeitung ungültiger UTF-8-Zeichen SQL-Injection-Angriffe durchzuführen. Angreifer können so über Meta-Commands im psql-Tool beliebige Betriebssystembefehle ausführen oder SQL-Anweisungen manipulieren, was letztlich zu einer Arbitrary Code Execution führen konnte.

Read More

Google's reCAPTCHA: Datenkrake ohne ernstzunehmenden Bot-Schutz

Eine aktueller Bericht auf TechSpot wirft ein Schlaglicht auf Googles reCAPTCHA v3, das sich als ineffektiv im Bot-Schutz und gleichzeitig als massiver Datenschutzrisiko entpuppt. Der einfache Checkbox-Test (“Ich bin kein Roboter”) überzeugt nicht – Bots bestehen ihn mühelos, wie der YouTuber “Chuppl” demonstrierte, der einen Bot entwickelte, der den Test in einem Versuch absolvierte.

Read More

CVE-2022-31631: PDO::quote() in PDO_SQLite führt zu SQL Injection

Eine kritische Sicherheitslücke (CVE-2022-31631) in PHPs PDO_SQLite-Komponente wurde veröffentlicht. In betroffenen PHP-Versionen (8.0.x vor 8.0.27, 8.1.x vor 8.1.15 und 8.2.x vor 8.2.2) kann die Funktion PDO::quote() bei der Verarbeitung von benutzerdefinierten, überlangen Strings einen unzureichend zitierten String zurückliefern – konkret lediglich ein einzelnes Apostroph.

Read More

Masterportal: Veraltete Elliptic-Bibliothek erlaubt Extraktion privater Schlüssel

Im Rahmen unseres Security Blogs weisen wir auf eine kritische Sicherheitslücke in der verwendeten Elliptic-Bibliothek hin, die Masterportal betrifft. Die Schwachstelle ermöglicht es, bei der ECDSA-Signatur eines manipulierten Inputs – etwa eines Strings oder einer Zahl, wie sie etwa aus JSON-Netzwerkeingaben stammen könnten – den privaten Schlüssel zu extrahieren. Die CVSS4.0 Bewertung ist mit 9.0/10 als kritisch eingestuft (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N).

Read More

Zero-Day-Schwachstelle in PAN-OS: Authentifizierungsumgehung durch Path Confusion

Ein Sicherheitsforscherteam von Assetnote hat eine kritische Schwachstelle in der PAN-OS Management-Schnittstelle von Palo Alto Networks entdeckt, die es Angreifern ermöglicht, die Authentifizierung zu umgehen (CVE-2025-0108). Der Fehler beruht auf einer Pfadverwirrung zwischen Nginx und Apache, bei der die unterschiedlich interpretierte URL zu einem Authentifizierungsfehler führt. Konkret wird ein Header, der in Nginx korrekt gesetzt wird, durch die doppelte URL-Dekodierung in Apache manipuliert, sodass schlussendlich der Schutzmechanismus aufgehoben wird und sensible administrative Funktionen ohne Login aufgerufen werden können.

Read More

WinZip-Sicherheitslücke ermöglicht Remote Code Execution

Am 13. Februar 2025 wurde eine kritische Schwachstelle in WinZip entdeckt, die Angreifern die Ausführung von beliebigem Code aus der Ferne ermöglicht. Die Sicherheitslücke CVE-2025-1240 beruht auf fehlerhafter Verarbeitung von 7Z-Dateien, bei der unzureichend validierte Benutzereingaben zu einem Pufferüberlauf führen. Eine Ausnutzung setzt voraus, dass der Nutzer eine manipulierte Datei öffnet oder eine kompromittierte Webseite besucht – etwa über Phishing oder andere Social-Engineering-Tricks. Mit einem CVSSv3-Basiswert von 7.8 wird das hohe Risiko dieser Schwachstelle deutlich. Die Problematik wurde in WinZip Version 29.0 behoben, weshalb Anwender dringend zum Update aufgefordert werden, um ihre Systeme zu schützen.

Read More

Kritische Sicherheitslücke beiLexmark Print Management Client (LPMC) entdeckt (CVE-2025-1126)

Die Lexmark International, Inc. warnt vor einer kritischen Sicherheitslücke (CVE-2025-1126) in ihrem Lexmark Print Management Client (LPMC). Betroffen sind die Versionen 3.0.0 bis 3.4.0 auf Windows-, Mac- und Linux-Systemen. Laut Lexmark kann die Schwachstelle (CVSSv3-Basiswert 9.3) Angreifern ermöglichen, beliebige Prozesse mit SYSTEM- oder Root-Rechten zu starten oder Verzeichnisse zu löschen, die normalerweise Administrator-Berechtigungen erfordern.

Read More

Cyberangriff auf Deutsche Bischofskonferenz – IT-Systeme lahmgelegt

Ein Hackerangriff am 10.02.2025 hat das Sekretariat der Deutschen Bischofskonferenz in Bonn schwer getroffen. Die katholische Bischofskonferenz ist derzeit nur eingeschränkt erreichbar, wie in einer Pressenachricht berichtet wird.

Read More