Schwachstellenanalyse

Das Open-Source-Megamodell LangChain hat eine schwerwiegende Serialisierungsschwachstelle (CVE-2025-68664) offengelegt, die von dem Sicherheitsforscher Yarden Porat von Cyata Security entdeckt wurde, bei der der "lc"-Schlüssel im Serialisierungs-/Deserialisierungsprozess fehlt. Diese vom Sicherheitsforscher Yarden Porat von Cyata Security entdeckte Schwachstelle wird durch einen fehlenden "lc"-Schlüssel im Serialisierungs-/Deserialisierungsprozess verursacht, der es einem Angreifer ermöglicht, Umgebungsvariablen auszuspähen, beliebige Objekte zu instanziieren oder sogar Code aus der Ferne mittels Prompt Injection auszuführen. Die Schwachstelle betrifft alle Implementierungen von LangChain Core vor Version 0.3.81 und im Bereich von Version 1.0.0-1.2.5. Die offiziellen Patches für Version 1.2.5 und 0.3.81 wurden am 24. Dezember veröffentlicht und gleichzeitig wurde die Standard-Sicherheitsrichtlinie verschärft.

PromptPwnd ist eine neue Schwachstelle, die vom Aikido Security-Forschungsteam entdeckt wurde und eine ernsthafte Bedrohung für GitHub Actions und GitLab CI/CD-Pipelines darstellt, die KI-Agenten integrieren. Die Schwachstelle nutzt Prompt Injection aus, um Schlüssel zu kompromittieren, Arbeitsabläufe zu manipulieren und die Lieferkette zu gefährden, indem böswillige Befehle in ein KI-Modell injiziert werden, die es veranlassen, Operationen mit hohen Rechten durchzuführen. Mindestens fünf Fortune-500-Unternehmen sind von der Schwachstelle betroffen, und bei mehreren hochkarätigen Projekten wie Google Gemini CLI wurde die Schwachstelle nachgewiesen.

CVE-2025-34291 ist eine kritische Sicherheitslücke in der Langflow AI Agent and Workflow Platform mit einer Sicherheitsbewertung von CVSS v4.0: 9.4. Die Sicherheitslücke ermöglicht es einem Angreifer, eine vollständige Kontoübernahme und Remotecodeausführung (RCE) von Langflow-Instanzen zu erreichen, indem er Benutzer dazu bringt, eine bösartige Webseite zu besuchen.

CVE-2025-55182 Schwachstelle Eingeführt von React 19 in der betroffenen Version, nimmt Next.js App Router RSC serialisierte Daten vom Client und leitet sie direkt an ReactFlightReplyServer weiter, um sie zu deserialisieren, ohne die Modellstruktur, Referenzpfade und Server-Referenz-Metadaten ausreichend zu überprüfen. Der Angreifer kann eine bösartige RSC konstruieren. Ein Angreifer kann eine bösartige RSC-Anfrage konstruieren, parseModelString, getOutlinedModel, loadServerReference, initializeModelChunk und andere Parsing-Links in einen Ausnahmezustand führen und das Ziel des Aufrufs während der Modullade- und Referenzbindungsphasen kontrollieren und schließlich einen beliebigen serverseitigen Trigger in Next. js auslösen. js kann jede serverseitige Codeausführung auslösen.

In diesem Beitrag wird die von den Sicherheitsforschern Bo Lai und Xin Zhang vom 360 Vulpecker Team durchgeführte Suche nach Schwachstellen in SDKs von Drittanbietern für mobile Anwendungen vorgestellt. Das Team konzentriert sich auf den Bereich der Angriffe und der Verteidigung der Sicherheit von Android-Systemen und -Anwendungen und hat selbst ein automatisiertes System für die Sicherheitsprüfung von Android-Anwendungen entwickelt. Dieses Papier beginnt mit dem Sicherheitsstatus von SDKs von Drittanbietern, diskutiert die Sicherheitsrisiken, die durch die SDK-Integration entstehen, und beschreibt im Detail die Sicherheitsrisiken und Angriffsmethoden, die in verschiedenen SDKs existieren. Die Methoden zur Ausnutzung von Schwachstellen bei Push-SDKs und gemeinsam genutzten SDKs werden anhand von Beispielen analysiert, und es wird aufgezeigt, inwieweit sich die damit verbundenen Schwachstellen auf Anwendungen auswirken. Abschließend werden einige Überlegungen vorgestellt, um die Aufmerksamkeit der Leser zu wecken und sie zum Nachdenken über die Sicherheit mobiler APPs anzuregen.

Google Android 14 Input Method Information Disclosure Vulnerability, aufgrund eines Seitenkanal-Informationsoffenlegung, gibt es eine Möglichkeit, potenziell zu bestimmen, ob eine Anwendung installiert ist, ohne die Berechtigungen abzufragen. Dies könnte zu einem lokalen Informationsleck ohne zusätzliche Ausführungsberechtigungen führen. Es ist keine Benutzerinteraktion erforderlich, um die Sicherheitslücke auszunutzen.

Am 24. November 2021 meldete das AliCloud-Sicherheitsteam die Apache Log4j2-Schwachstelle für Remotecodeausführung an die Apache-Beamten. 01 Beschreibung der Schwachstelle Apache Log4j2 ist ein hervorragendes Java-Logging-Framework. ...