[NEU] [hoch] Budibase: Schwachstelle ermöglicht SQL-Injection und Codeausführung
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Budibase ausnutzen, um eine SQL Injection durchzuführen oder beliebigen Programmcode auszuführen.
0
Anzahl der Newsfeeds
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
[NEU] [hoch] Drupal Module: Mehrere Schwachstellen ermöglichen Manipulation von Daten
Ein Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Daten zu manipulieren.
[NEU] [hoch] libssh2: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in libssh2 ausnutzen, um einen Denial of Service Angriff durchzuführen oder Code auszuführen.
[NEU] [kritisch] Widget Factory Joomla Content Editor: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Widget Factory Joomla Content Editor ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [hoch] Android Patchday Juni 2026: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Google Android ausnutzen, um erweiterte Berechtigungen zu erlangen, beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder einen Denial-of-Service-Zustand zu verursachen.
[NEU] [UNGEPATCHT] [mittel] vllm: Schwachstelle ermöglicht Manipulation von Daten
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in vllm ausnutzen, um Daten zu manipulieren.
[NEU] [UNGEPATCHT] [kritisch] PTC FlexPLM: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in PTC FlexPLM und PTC Windchill ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [hoch] Cisco ISE and Cisco ISE-PIC: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Cisco Identity Services Engine (ISE) ausnutzen, um beliebigen Programmcode auszuführen, Administratorrechte zu erlangen oder vertrauliche Informationen offenzulegen.
[NEU] [niedrig] Cisco WebEx App: Schwachstelle ermöglicht Darstellen falscher Informationen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Cisco WebEx App ausnutzen, um falsche Informationen darzustellen.
[NEU] [hoch] iba AG ibaPDA: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in iba AG ibaPDA ausnutzen, um beliebigen Programmcode auszuführen und sich so möglicherweise vollständigen Zugriff auf betroffene Systeme zu verschaffen.
[UPDATE] [mittel] WP Royal Royal Elementor Addons: Schwachstelle ermöglicht Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in WP Royal Royal Elementor Addons ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
[NEU] [mittel] OpenBSD: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein Angreifer aus einem angrenzenden Netzwerk kann eine Schwachstelle in OpenBSD ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[NEU] [hoch] PJSIP: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in PJSIP ausnutzen, um einen Denial of Service Angriff durchzuführen und um Daten zu manipulieren.
[NEU] [hoch] Rockwell Automation FactoryTalk (Historian Site Edition): Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Rockwell Automation FactoryTalk Historian Site Edition ausnutzen, um Sicherheitsvorkehrungen zu umgehen, um einen Denial of Service Angriff durchzuführen, und um Daten zu manipulieren.
[NEU] [hoch] Pixel Patchday Juni 2026: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Google Android Pixel ausnutzen, um sich erweiterte Berechtigungen zu verschaffen, beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen und vertrauliche Informationen offenzulegen.
[NEU] [mittel] IGEL OS: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Administratorrechten
Ein Angreifer mit physischem Zugriff kann eine Schwachstelle in IGEL OS ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen.
[NEU] [mittel] Devolutions Server: Mehrere Schwachstellen ermöglichen Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Devolutions Server ausnutzen, um Informationen offenzulegen.
[NEU] [mittel] Red Hat Enterprise Linux (dracut): Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Administratorrechten
Ein Angreifer aus einem angrenzenden Netzwerk kann eine Schwachstelle in Red Hat Enterprise Linux ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen.
[NEU] [UNGEPATCHT] [hoch] Microsoft Malware Protection Engine: Schwachstelle ermöglicht Privilegieneskalation
Ein lokaler Angreifer kann eine Schwachstelle in Microsoft Malware Protection Engine und Microsoft Defender ausnutzen, um seine Privilegien zu erhöhen.
[NEU] [hoch] vllm: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in vllm ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
0
Anzahl der Feeds in »IT-Security«
Newsfeed bereitgestellt golem.de: https://www.golem.de
Kein Patch verfügbar: Bitlocker-Exploit Bitskrieg veröffentlicht
Microsofts empfohlene Korrektur für den Bitlocker-Exploit Yellowkey ist offenbar unvollständig. Mit Bitskrieg soll sie sich umgehen lassen. (Sicherheitslücke, Verschlüsselung)
(g+) Cloud Security 2026: Zero Trust für die Wolke?
Wer die Cloud schützen will, muss Sicherheit schneller, kontextbezogener und näher an den Identitäten, Workloads sowie Datenströmen denken als bisher. Ein Ratgebertext von Fabian Deitelhoff (Cloud, KI)
Smart Glasses: Meta hinterlegt Code für Gesichtserkennung in App
In der Meta-AI-App findet sich inaktiver Code, mit dem Smart Glasses Gesichter wiedererkennen können. Bürgerrechtler haben bereits gewarnt. (Meta, Datenschutz)
Scheinverschlüsselung: Fedora-Update deckt uralte Security-Panne bei Outlook auf
Einige Outlook-Nutzer haben offenbar jahrelang unwissentlich Passwörter im Klartext an E-Mail-Server übermittelt, obwohl die SSL/TLS-Option aktiv war. (Outlook, Microsoft)
One-Click-Data-Destruction: Teamgroup zeigt SSD mit drahtloser Selbstzerstörung
Der Speicherhersteller Teamgroup erweitert seine Produktreihe mit Selbstzerstörungsfunktion um ein Modell mit Fernauslöser. (Speichermedien, Datenschutz)
Firmware-Manipulation per Bluetooth: PC über verbundene Soundbar gehackt
Ein Forscher hat per Bluetooth und ohne vorheriges Pairing die Firmware seiner Soundbar überschrieben. Danach konnte er darüber seinen PC steuern. (Sicherheitslücke, Bluetooth)
Forenmanipulation: Firmen manipulieren Reddit für KI-Bots
Unternehmen fluten Reddit mit Beiträgen über Peptide. Ziel ist die gezielte Beeinflussung von KI-Sprachmodellen. (Reddit, Spam)
Angst vor Russland: Hacker entschuldigen sich bei attackierter Firma
Ein Cyberakteur entpuppt sich als „Ransomware-Trottel des Tages“. Er hat ein Ziel attackiert, das ihm wirklich Probleme bereiten kann. (Cybercrime, Cyberwar)
Anzeige: LPIC-1 in fünf Tagen auffrischen
Ein LPIC-1 Vorbereitungskurs bündelt prüfungsrelevante Linux-Themen für LPI 101 und LPI 102. Das Online-Training strukturiert die Wiederholung von Architektur bis Security. (Golem Karrierewelt, Server-Applikationen)
Android-Apps: Codepanne bei Microsoft gefährdet Daten unzähliger Nutzer
Microsoft hat in mehreren seiner Android-Apps versäumt, ein Debugging-Flag zurückzusetzen. Angreifer konnten dadurch Nutzerkonten kapern. (Sicherheitslücke, Microsoft)
Smart Glasses: Potsdam will smarte Brillen mit Kameras in Bädern verbieten
Mit Smart Glasses lassen sich unbemerkt Videos aufnehmen. Die Potsdamer Stadtverordneten wollen die Nutzung in Schwimmbädern verbieten. (Smartglass, Datenschutz)
Nur ein Client nötig: HTTP/2 Bomb legt Webserver in Sekunden lahm
Bei gängigen Webservern wie Nginx, Apache HTTPD und Microsoft IIS lässt sich mit wenig Aufwand innerhalb von Sekunden der Speicher fluten. (Sicherheitslücke, Apache)
Donald Trump: US-Regierung erhält Vorabzugang zu neuen KI-Modellen
Ursprünglich wollte die Trump-Regierung den KI-Entwicklern freie Hand lassen. Doch wegen Gefahren für die IT-Sicherheit ist nun ein Vorabzugriff vorgesehen. (KI, Politik)
Kein Bock auf Microsoft: Forscher leakt Zero-Day-Exploit für Github-Datenklau
Microsoft hat neben Chaotic Eclipse offenbar noch einen weiteren Forscher verärgert. Der hat nun einen gefährlichen Github-Exploit veröffentlicht. (Sicherheitslücke, Microsoft)
Anzeige: Souveräne Cloud-Strategie mit STACKIT: Governance und Umsetzung
Cloud-Souveränität wird zum Architekturthema: Datenhoheit, Governance und Compliance müssen zusammenpassen. Ein Online-Workshop vermittelt praxisnah, wie STACKIT Cloud strategisch bewertet und umgesetzt wird. (Golem Karrierewelt, Server-Applikationen)
Anzeige: StVZO-konformes Fahrradlicht-Set kurzzeitig zum Amazon-Tiefpreis nur 18 Euro
Das LED-Fahrradleuchten-Set ist wieder zum Amazon-Tiefstpreis verfügbar und punktet mit StVZO-Zulassung, IPX5-Schutz und USB-C-Aufladung. (Technik/Hardware, Amazon)
(g+) Echtzeitüberwachung: Endpoint Security neu gedacht
Endpoint-Detection-and-Response-Systeme werden zum Kern moderner Security Operations. Sie überwachen Prozesse, Identitäten und Verhalten in Echtzeit. Ein Ratgebertext von Klaus Manhart (Sicherheit im Wandel, Server)
Brute-Force-Attacke: Angreifer erbeuten Passwort-Tresore von Dashlane
Infolge eines Brute-Force-Angriffs auf Dashlane wurden einige Nutzer temporär gesperrt. Die Angreifer sollen zudem an Passwort-Tresore gelangt sein. (Passwortmanager, Verschlüsselung)
Finanzämter: KI-Modelle brauchen dauerhaft echte Steuerdaten der Bürger
Die Finanzbehörden wollen KI-Modelle nicht nur mit echten Steuerdaten trainieren. Auch für den Betrieb werden sie zur Vergleichsanalyse genutzt. (KI, Datenschutz)
Kritische Sicherheitslücke: Attacken auf Windows-Server beobachtet
Aufgrund einer kritischen Netlogon-Lücke lassen sich Windows-Server durch spezielle Datenpakete kompromittieren. Angreifer nutzen das bereits. (Sicherheitslücke, Microsoft)