Wissen

Wordpress WpForms: Subscriber User können durch Lücke Abonnements kündigen

Am 9. Dezember 2024 wurde eine kritische Sicherheitslücke im WordPress-Plugin WPForms (Versionen 1.8.4 bis 1.9.2.1) veröffentlicht. Die Schwachstelle (CVE-2024-11205) ermöglicht es authentifizierten Angreifern mit Zugriffsrechten ab der Benutzerrolle „Subscriber“, Zahlungen zurückzuerstatten und Abonnements zu kündigen. Grund dafür ist eine fehlende Überprüfung der Berechtigungen in der Funktion wpforms_is_admin_page.

Read More

Dell NetWorker Sicherheitsupdate gegen Auth Bypass CVE-2024-42422

Dell Technologies hat am 3.12.2024 ein Sicherheitsupdate für die beliebte Backup Software Dell NetWorker veröffentlicht, das eine schwerwiegende Schwachstelle adressiert. Die Schwachstelle mit der Bezeichnung CVE-2024-42422 betrifft den Dell NetWorker Client und könnte von böswilligen Akteuren ausgenutzt werden, um sensible Informationen offenzulegen und möglicherweise das betroffene System zu kompromittieren. Die Schwachstelle betrifft Versionen vor 19.10.0.6.

Read More

Java: Kritische Schwachstelle in async-http-client: Automatischer CookieStore ersetzt explizit definierte Cookies

Eine kürzlich veröffentlichte Sicherheitswarnung weist auf eine kritische Schwachstelle in der Bibliothek async-http-client hin, die zahlreiche Backend-Dienste potenziell gefährden kann. Die Schwachstelle mit der CVE-ID CVE-2024-53990 betrifft alle Versionen bis einschließlich 3.0.0 und wurde in der Version 3.0.1 behoben. Entwickler, die diese Bibliothek verwenden, sind dringend aufgefordert, ein Update durchzuführen, um das Sicherheitsrisiko zu minimieren.

Read More

SonicWall Security Update: Buffer Overflow und Path Traversal Schwachstellen gefunden

Am 3. Dezember 2024 hat SonicWall ein umfassendes Sicherheitsbulletin veröffentlicht, das mehrere kritische Schwachstellen in den SSL-VPN-Produkten der SMA 100-Serie beschreibt. Diese Sicherheitslücken, die von Path Traversal bis hin zu Pufferüberläufen reichen, könnten von Angreifern ausgenutzt werden, um sensible Informationen zu kompromittieren, Code auszuführen oder Authentifizierungsmechanismen zu umgehen. Die betroffenen Versionen reichen bis einschließlich 10.2.1.13-72sv, und SonicWall rät dringend zu einem Upgrade auf die neueste Version 10.2.1.14-75sv oder höher.

Read More

Django Framework: SQL Injection bei JSON-Fields auf Oracle DB möglich

Die Django-Community hat am 4. Dezember 2024 drei neue Sicherheitsreleases veröffentlicht: Django 5.1.4, Django 5.0.10 und Django 4.2.17. Diese Updates beheben zwei kürzlich entdeckte Sicherheitslücken, die sowohl die Stabilität als auch die Sicherheit von Anwendungen gefährden könnten. Nutzern wird dringend empfohlen, ihre Django-Installationen umgehend zu aktualisieren.

Read More

Kritische Schwachstellen in HPE Aruba Networking ClearPass Policy Manager entdeckt

Hewlett Packard Enterprise (HPE) hat am 3. Dezember 2024 mehrere schwerwiegende Sicherheitslücken in der ClearPass Policy Manager-Software gemeldet. Diese Schwachstellen ermöglichen Angreifern unter anderem Remote Code Execution (RCE), die Ausführung beliebiger Befehle und Cross-Site Scripting (XSS). Betroffen sind Versionen bis 6.12.2 und 6.11.9 sowie alle älteren Builds.

Read More

Kritische Sicherheitslücken in der Veeam Service Provider Console

Am 3. Dezember 2024 hat Veeam die Entdeckung und Behebung zweier Sicherheitslücken in der Veeam Service Provider Console (VSPC) Version 8.1 öffentlich bekanntgegeben. Diese Schwachstellen, die als CVE-2024-42448 und CVE-2024-42449 klassifiziert wurden, stellen erhebliche Risiken dar und wurden während interner Tests identifiziert.

Read More

Cisco warnt erneut vor Exploits einer 10 Jahre alten Sicherheitslücke in ASA WebVPN Login

Cisco hat kürzlich eine erneute Warnung zu einer seit 2014 bekannten Sicherheitslücke in seiner Adaptive Security Appliance (ASA) veröffentlicht. Diese Schwachstelle betrifft die WebVPN-Login-Seite und ermöglicht es einem unauthentifizierten, entfernten Angreifer, ein Cross-Site-Scripting (XSS)-Angriff durchzuführen. Der Angreifer könnte dies ausnutzen, indem er ein Opfer dazu bringt, einen schädlichen Link zu öffnen.

Read More

Elektronische Patientenakte (ePA): Chancen, Herausforderungen und Kontroversen

Mit der geplanten Einführung der elektronischen Patientenakte (ePA) im Jahr 2025 erreicht die Digitalisierung des deutschen Gesundheitswesens einen Meilenstein. Die ePA soll medizinische Daten zentral verfügbar machen, um die Patientenversorgung zu verbessern und Kosten zu reduzieren. Trotz des Potenzials dieser Technologie gibt es erhebliche Bedenken, die von Datenschutzfragen bis hin zur praktischen Nutzbarkeit reichen.

Read More

Vertragsverletzungsverfahren gegen Deutschland: EU fordert Umsetzung der NIS-2-Richtlinie

Die Europäische Union hat ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive 2) in nationales Recht nicht fristgerecht erfolgt ist. Diese Richtlinie soll die Cybersicherheit und Resilienz kritischer Infrastrukturen stärken und eine einheitliche Grundlage für den Schutz vor Cyberangriffen in der EU schaffen. Die Situation hat erhebliche Auswirkungen auf die deutsche Gesetzgebung und den Schutz kritischer Einrichtungen.

Read More