Sicherheitswarnungen

9. November 2022

Kritische Sicherheitslücken in VMware Workspace ONE - Updates verfügbar

09. November 2022 Beschreibung VMware hat Updates für drei kritische Authentication Bypass Sicherheitslücken im Remote-Access-Tool VMware Workspace ONE veröffentlicht. CVE-Nummer(n): CVE-2022-31685, CVE-2022-31686, CVE-2022-31687 CVSS Base Score: 9.8 Auswirkungen Entfernte, anonyme Angreifer:innen können die Authentifizierung in erreichbaren VMware Workspace ONE Instanzen umgehen und Administratorrechte auf den betroffenen Systemen erlangen. Betroffene Systeme VMware Workspa
12. Oktober 2022

Kritische Sicherheitslücke in Magento Open Source und Adobe Commerce - Updates verfügbar

12. Oktober 2022 Beschreibung Adobe hat Updates für die E-Commerce Software Suites 'Magento Open Source' und 'Adobe Commerce' herausgegeben. CVE-Nummer(n): CVE-2022-35698 CVSS Base Score: 10.0 Auswirkungen Angreifer:innen können beliebigen Code auf betroffenen Systemen ausführen (vermutlich mit den Rechten des Webservers), und haben Zugriff auf alle Daten die im E-Commerce System gespeichert sind. Betroffene Systeme Magento Open Source vor den Versionen 2.4.5-p1 bzw. 2.4.4-p2 Ado
10. Oktober 2022

Update #1 - Kritische Sicherheitslücke in Fortinet Produkten - Updates verfügbar

10. Oktober 2022 Update #1: 10. Oktober 2022, 18:10 (zusätzlich zu Firewalls sind weitere Produkte betroffen) Beschreibung Kritische Schwachstellen in Fortinet Firewalls Produkten erlauben es Angreifenden, die Authentisierung zu umgehen und Aktionen mit Admin-Rechten auszuführen. CVE-Nummer(n): CVE-2022-40684 CVSS Base Score: 9.6 Auswirkungen Durch spezielle http/https-Anfragen an das Administrations-Interface der Firewall lassen sich Aktionen mit Admin-Rechten ausführen. Damit s
7. Oktober 2022

Update #1 - Remote Code Execution in Zimbra Collaboration Suite - Updates und Workaround verfügbar

7. Oktober 2022 Update #1: 14. Oktober 2022, 16:45 Beschreibung Eine kritische Schwachstelle in Zimbra Collaboration Suite erlaubt potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. Laut diversen Berichten wird diese Schwachstelle bereits aktiv ausgenutzt. CVE-Nummer(n): CVE-2022-41352 CVSS Base Score: 9.8 Auswirkungen Das Ausnützen der Schwachstelle durch senden einer Email mit speziell präparierten Anhängen in den Formaten .cpio, .ta
30. September 2022

Update #5 - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise – Workaround verfügbar

30. September 2022 Update: 03. Oktober 2022, 13:40 Update #2: 06. Oktober 2022, 09:30 Update #3: 07. Oktober 2022, 16:30 Update #4: 11. Oktober 2022, 19:15 Update #5: 09. November 2022, 16:00 Beschreibung Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen. CVE-Nummer(n): CVE-2022-41040 CVE-2022-41082 CVSS Base Score (lt
7. September 2022

Remote Code Execution Schwachstelle in Zyxel NAS - Updates verfügbar

7. September 2022 Beschreibung Eine kritische Schwachstelle in Zyxel NAS-Systemen ermöglicht potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. CVE-Nummer(n): CVE-2022-34747 CVSS Base Score: 9.8 Auswirkungen Das Ausnützen der Schwachstelle durch senden spezieller UDP-Pakete kann zu einer vollständigen Kompromittierung des Systems führen. Betroffene Systeme NAS326 V5.21(AAZF.11)C0 und älter NAS540 V5.21(AATB.8)C0 und älte
29. August 2022

Kritische Sicherheitslücke in Atlassian Bitbucket Server and Data Center - Updates verfügbar

29. August 2022 Beschreibung Eine kritische Schwachstelle in Atlassian Bitbucket Server and Data Center ermöglicht potentiellen Angreifern oder Angreiferinnen das Ausführen von beliebigem Code mittels spezieller HTTP-Anfragen. Vorrausetzung dafür ist Zugriff auf ein öffentliches bzw. Lese-Zugriff auf ein privates Repository CVE-Nummer(n): CVE-2022-36804 CVSS Base Score: 9.9 Auswirkungen Das Ausnützen der Schwachstelle erlaubt potentiell das Ausführen von beliebigem
4. August 2022

Remote Code Execution Schwachstelle in Cisco Small Business RV Series Routern - Updates verfügbar

4. August 2022 Beschreibung Eine Schwachstelle in Cisco VPN-Routern aus der RV340 and RV345 Serie ermöglicht potentiell das Ausführen von beliebigem Code mit root-Rechten. CVE-Nummer(n): CVE-2022-20842 CVSS Base Score: 9.8 Auswirkungen Das Ausnützen der Sicherheitslücke durch Senden einer speziell präparierten HTTP-Anfrage erlaubt entfernten, unauthentifizierten Angreifer:innen möglicherweise das Ausführen von beliebigem Code mit root-Rechten oder dem Ausl
3. Juni 2022

Update - Kritische Sicherheitslücke in Atlassian Confluence - Patches & Workarounds verfügbar

03. Juni 2022 Update: 07. Juni 2022, 13:50 Beschreibung Atlassian Confluence Server und Confluence Data Center weisen eine kritische Schwachstelle auf, die das Ausführen von beliebigem Code erlaubt. Die Sicherheitslücke wird bereits aktiv ausgenützt. CVE-Nummer: CVE-2022-26134 CVSS Base Score: Atlassian Security Level: Critical (entspricht CVSS Score 9.0-10.0) Auswirkungen Die Schwachstelle erlaubt entfernten, unauthentifizierten Angreifer:innen das Ausführen von beliebigem
31. Mai 2022

Remote Code Execution Schwachstelle in Microsoft Windows - Workarounds verfügbar

31. Mai 2022 Beschreibung Mehrere Microsoft Windows Versionen weisen eine Schwachstelle auf, die (zB in Verbindung mit Microsoft Office Produkten, aber möglicherweise auch durch Drittanwendungen) eine Remote Code Execution erlaubt. CVE-Nummer: CVE-2022-30190 CVSS Base Score: 7.8 Auswirkungen Angreifer:innen können durch Ausnützen der Schwachstelle beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen und somit potentiell das gesamte System übernehmen. Da