Wissen
- Home /
- Wissen
Roundcube Webmail XSS Schwachstelle CVE-2024-37383 mit Fake Attachments
Eine kürzlich entdeckte Schwachstelle in Roundcube Webmail (CVE-2024-37383) ermöglicht es Angreifern, über manipulierte E-Mails JavaScript auszuführen und so auf Benutzerdaten zuzugreifen. Der Exploit basiert auf einer XSS-Sicherheitslücke durch unsachgemäße Verarbeitung von SVG-Elementen in E-Mails. Die Schwachstelle betrifft Roundcube-Versionen vor 1.5.6 sowie Versionen 1.6 bis 1.6.6. Angreifer können über diese Lücke Zugang zu E-Mail-Accounts erhalten und sensible Informationen stehlen. Ein Sicherheitsupdate wurde bereits veröffentlicht.
Read MoreCISCO ASA SSH Schwachstelle CVE-2024-20329 ermöglicht Systemübernahme
Am 23. Oktober 2024 veröffentlichte Cisco eine kritische Sicherheitswarnung zu einer Schwachstelle in der Cisco Adaptive Security Appliance (ASA) Software. Diese Schwachstelle, die unter CVE-2024-20329 bekannt ist, betrifft das SSH-Subsystem der ASA-Software und ermöglicht es einem entfernten, authentifizierten Angreifer, Betriebssystembefehle mit Root-Rechten auszuführen. Die Schwachstelle wurde als kritisch eingestuft, mit einem CVSS-Score von 9.9.
Read MoreKritische RCE Lücke in Fortinet FortiManager (CVE-2024-47575) wird aktiv ausgenutzt
Eine schwerwiegende Schwachstelle im FortiManager fgfmsd-Daemon wurde am 23. Oktober 2024 veröffentlicht, die es einem nicht authentifizierten, entfernten Angreifer ermöglicht, beliebigen Code oder Befehle auf betroffenen Systemen auszuführen. Der Fehler, der als CVE-2024-47575 bezeichnet wird, resultiert aus fehlender Authentifizierung bei kritischen Funktionen, wodurch speziell gestaltete Anfragen an das System gesendet werden können, um dessen Sicherheit zu umgehen. Diese Schwachstelle betrifft mehrere Versionen der FortiManager-Software und wird als kritisch mit einem CVSS-Score von 9.8 eingestuft.
Read MoreStatische Anmeldeinformationen in Cisco Firepower Threat Defense Software entdeckt (CVE-2024-20412)
Cisco hat am 23. Oktober 2024 eine schwerwiegende Sicherheitslücke in der Cisco Firepower Threat Defense (FTD) Software für die Serien Firepower 1000, 2100, 3100 und 4200 veröffentlicht. Diese Schwachstelle, die mit CVE-2024-20412 bezeichnet wird, könnte einem nicht authentifizierten, lokalen Angreifer den Zugriff auf ein betroffenes System mithilfe statischer Anmeldeinformationen ermöglichen. Der Schweregrad dieser Schwachstelle wird mit einem CVSS-Score von 9.3 als kritisch eingestuft.
Read MoreKritische Systemübernahme-Lücke in Cisco Secure Firewall Management Center Software (CVE-2024-20424)
Am 23. Oktober 2024 veröffentlichte Cisco eine Sicherheitswarnung zu einer schwerwiegenden Schwachstelle in der Cisco Secure Firewall Management Center (FMC) Software. Die Schwachstelle, die mit der CVE-Nummer CVE-2024-20424 versehen wurde, ermöglicht es einem authentifizierten, entfernten Angreifer, beliebige Befehle mit Root-Rechten auf dem betroffenen System auszuführen. Diese Schwachstelle wurde als kritisch eingestuft und hat einen CVSS-Score von 9.9.
Read MoreGitLab Sicherheitspatch vom 23.10.24 stopft XSS Lücke in der Suche
Am 23. Oktober 2024 wurden die neuesten Patch-Versionen 17.5.1, 17.4.3 und 17.3.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Releases enthalten bedeutende Fehlerbehebungen und Sicherheitsupdates, die für alle selbstverwalteten GitLab-Installationen dringend empfohlen werden. GitLab.com betreibt bereits die aktualisierten Versionen, und Kunden von GitLab Dedicated müssen keine Maßnahmen ergreifen.
Read MorePrivilege-Escalation Sicherheitslücke in GNU/Linux guix-daemon gefunden
Am 21. Oktober 2024 wurde eine Sicherheitslücke im guix-daemon veröffentlicht, die es einem lokalen Benutzer ermöglicht, die Privilegien eines beliebigen Build-Benutzers zu übernehmen und den Ausgabeprozess von Builds zu manipulieren. Guix ist eine Paketverwaltungssoftware für GNU/Linux Systeme. Dieser Exploit betrifft vor allem Multi-User-Systeme, die dedizierte Benutzer für Build-Dienste verwenden, und erlaubt Angreifern, binäre Dateien mit erhöhten Rechten (setuid/setgid) nach einem fehlgeschlagenen Build zu erstellen. Ein erfolgreicher Angreifer könnte dadurch Systemdateien überschreiben oder kompromittierte Ausgaben erzeugen.
Read MoreMicrosoft findet Datenschutz-kritische Sicherheitslücke in macOS
Am 17. Oktober 2024 veröffentlichte Microsoft Threat Intelligence Informationen über eine neue Schwachstelle in macOS, genannt HM Surf (CVE-2024-44133). Diese Sicherheitslücke erlaubt es Angreifern, die Schutzmechanismen der Transparenz-, Einwilligungs- und Kontrolltechnologie (TCC) von macOS zu umgehen und unautorisiert auf sensible Daten zuzugreifen. Betroffen sind Daten wie der Browserverlauf, die Kamera, das Mikrofon sowie der Standort des Geräts.
Read MoreVMware vCenter Server - Heap Overflow und Privilege Escalation Schwachstellen gefunden
Am 21. Oktober 2024 veröffentlichte VMware ein wichtiges Update zu zwei schwerwiegenden Sicherheitslücken, CVE-2024-38812 und CVE-2024-38813, die den VMware vCenter Server und VMware Cloud Foundation betreffen. Diese Schwachstellen ermöglichen entweder einen Heap-Overflow oder eine Privilegieneskalation.
Read MoreEuGH stärkt Datenschutz: Schadensersatz- und Unterlassungsansprüche
Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 zwei Urteile gefällt, die den Schutz von personenbezogenen Daten betreffen. Hier die wichtigsten Punkte zusammengefasst:
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-Codeausführung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- Sicherheitslücke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- Südafrika
- Ubuntu
- Updates
- Verfügbarkeit
- Verschlüsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland