Eine Sicherheitslücke in der Eingabevalidierung von pbkdf2 in `lib/to-buffer.js` ermöglicht die Fälschung von Signaturen. Betroffen sind die Versionen 3.0.10 bis 3.1.2. Diese kritische Sicherheitslücke (CVSS-B 9.1, laut Bewertung von Harborist) ermöglicht Angreifern, Signaturen zu fälschen.
Mehr lesen
Eine kritische Sicherheitslücke (CVE-2025-32433) wurde im Erlang/OTP SSH-Server entdeckt, die die Ausführung von nicht authentifiziertem Code aus der Ferne (RCE) ermöglicht. Betroffen sind Versionen vor OTP-27.3.3, OTP-26.2.5.11 und OTP-25.3.2.20. Angreifer können einen Fehler in der Behandlung von SSH-Protokollnachrichten ausnutzen, um nicht autorisierten Zugriff zu erhalten und beliebige Befehle ohne Anmeldedaten auszuführen. Patches sind verfügbar; aktualisieren Sie auf OTP-27.3.3, OTP-26.2.5.11 oder OTP-25.3.2.20 oder höher.
Mehr lesen
Eine kritische Sicherheitslücke (CVE-2024-49035) im Microsoft Partner Center ermöglicht es nicht authentifizierten Angreifern, ihre Rechte im Netzwerk zu erhöhen. Diese Schwachstelle im Zugriffskontrollmechanismus ist im CISA-Katalog bekannter ausgenutzter Schwachstellen aufgeführt. Microsoft rät Nutzern, Abhilfemaßnahmen zu ergreifen, die BOD 22-01-Richtlinien für Cloud-Dienste zu befolgen oder die Nutzung bis zum 18. März 2025 einzustellen.
Mehr lesen