Peter Leibling – Seite 24

CVE-2026-39829 Invoking pathological RSA/DSA parameters may cause DoS in golang.org/x/crypto/ssh

Information published.

[UPDATE] [hoch] Mautic: Mehrere Schwachstellen

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Mautic ausnutzen, um SQL-Injection- und Server-Side Request Forgery (SSRF)-Angriffe durchzuführen und um Informationen offenzulegen, beliebigen JavaScript-Code im Browser anderer Benutzer auszuführen, Dateien außerhalb vorgesehener Verzeichnisse einzubinden oder zu manipulieren sowie unter Umständen beliebigen Code auf dem Server auszuführen.

[UPDATE] [hoch] Google Chrome und Microsoft Edge: Mehrere Schwachstellen

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome und Microsoft Edge ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service (DoS) Angriff zu verursachen oder nicht näher beschriebene Auswirkungen zu erzielen.

[UPDATE] [hoch] Notepad++: Schwachstelle ermöglicht Codeausführung

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Notepad++ ausnutzen, um beliebigen Programmcode auszuführen.

[UPDATE] [hoch] OpenClaw: Mehrere Schwachstellen

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OpenClaw ausnutzen, um Sicherheitsmechanismen zu umgehen, erhöhte Berechtigungen zu erlangen, Informationen offenzulegen, Konfigurationen zu manipulieren, beliebige Befehle oder Code auszuführen sowie interne Systeme über SSRF anzugreifen.

CVE-2025-23167 A flaw in Node.js 20’s HTTP parser allows improper termination of HTTP/1 headers using `rnrX` instead of the required `rnrn`. This inconsistency enables request smuggling, allowing attackers to bypass proxy-based access controls and submit unauthorized requests. The issue was resolved by upgrading `llhttp` to version 9, which enforces correct header termination. Impact: * This vulnerability affects only Node.js 20.x users prior to the `llhttp` v9 upgrade.

Information published.

CVE-2026-44839 RabbitMQ: Unsanitized vhost names allow for XSS in management UI

Information published.

CVE-2026-40034 gitoxide – Command Injection via Partial .gitmodules Override in gix-submodule

Information published.

CVE-2025-15649 IO::Uncompress::Unzip versions before 2.215 for Perl propagate uncaught exception when parsing zip header with malformed DOS date

Information published.

CVE-2026-48864 Libsolv: heap buffer overflow in libsolv repopagestore via unchecked decompression of malicious .solv page data

Information published.

Autor: Peter Leibling

CVE-2026-39829 Invoking pathological RSA/DSA parameters may cause DoS in golang.org/x/crypto/ssh

[UPDATE] [hoch] Mautic: Mehrere Schwachstellen

[UPDATE] [hoch] Google Chrome und Microsoft Edge: Mehrere Schwachstellen

[UPDATE] [hoch] Notepad++: Schwachstelle ermöglicht Codeausführung

[UPDATE] [hoch] OpenClaw: Mehrere Schwachstellen

CVE-2026-44839 RabbitMQ: Unsanitized vhost names allow for XSS in management UI

CVE-2026-40034 gitoxide – Command Injection via Partial .gitmodules Override in gix-submodule

CVE-2025-15649 IO::Uncompress::Unzip versions before 2.215 for Perl propagate uncaught exception when parsing zip header with malformed DOS date

CVE-2026-48864 Libsolv: heap buffer overflow in libsolv repopagestore via unchecked decompression of malicious .solv page data

Suchen