SendGrid for WordPress: Unauthentifizierte SQL Injection (CVE-2024-43965)

Am 26. August 2024 wurde eine kritische Sicherheitslücke (CVE-2024-43965) im SendGrid for WordPress Plugin bis Version 1.4 veröffentlicht, die es Angreifern ermöglicht, SQL-Injections durchzuführen. Aufgrund unzureichender Absicherung der Benutzereingaben können Angreifer ohne Authentifizierung zusätzliche SQL-Befehle einschleusen und dadurch sensible Daten aus der Datenbank extrahieren. Die Schwachstelle wurde mit einem CVSS-Score von 10.0 als äußerst kritisch eingestuft.

Aktuell steht kein Update zur Verfügung. Um die Sicherheit Ihrer Website zu gewährleisten, wird dringend empfohlen, das Plugin sofort zu deinstallieren. Weitere Informationen finden Sie in der offiziellen Wordfence Vulnerability Database.

Related Posts

Authentifizierungs-Bypass in Ivanti Virtual Traffic Manager möglich

Ivanti hat Updates für den Virtual Traffic Manager (vTM) veröffentlicht, um eine kritische Sicherheitslücke zu beheben. Die Schwachstelle CVE-2024-7593 ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Authentifizierung am Admin-Panel zu umgehen und einen Administrator-Benutzer zu erstellen. Der CVSS-Score beträgt 9.8 (kritisch), und die Lücke betrifft alle vTM-Versionen außer 22.2R1 und 22.7R2.

Read More

RCE Schwachstellen in HPE Aruba Access Points gefunden

Hewlett Packard Enterprise (HPE) hat am 24. September 2024 einen Sicherheitshinweis (Document ID: hpesbnw04712) zu mehreren kritischen Schwachstellen in HPE Aruba Networking Access Points veröffentlicht. Die betroffenen Geräte laufen auf den Softwareversionen Instant AOS-8 und AOS-10. Die Schwachstellen (CVE-2024-42505, CVE-2024-42506, CVE-2024-42507) erlauben es Angreifern, durch speziell gestaltete Pakete über den PAPI-Protokoll-Port (UDP/8211) beliebige Befehle auf den Access Points auszuführen, was zu einer Remote-Code-Ausführung führen kann.

Read More

Proxmox VE/Mail Gateway API – Post-Authentifizierung privilegierte Dateilesen-Schwachstellen

Am 23. September 2024 hat Proxmox eine Sicherheitswarnung zu Schwachstellen in der Proxmox VE und Proxmox Mail Gateway API veröffentlicht. Authentifizierte Angreifer mit den Rechten ‘Sys.Audit’ oder ‘VM.Monitor’ konnten über die API beliebige Host-Dateien herunterladen. Die Schwachstellen wurden von Snyks Security Labs identifiziert und betrafen mehrere Proxmox-Komponenten, darunter pve-manager, libpve-storage-perl, libpve-http-server-perl und pmg-api.

Read More