Sicherheitslücke

CVE-2025-6554 ist eine Type Confusion-Schwachstelle in der Google Chrome V8 JavaScript-Engine. Type Confusion ist eine häufige Klasse von Schwachstellen, die zu unsicheren Speicheroperationen führen können, wenn ein Programm einen Datentyp fälschlicherweise als einen anderen interpretiert, was einem Angreifer die Ausführung von beliebigem Code auf dem System des Opfers ermöglicht.

Die Schwachstelle rührt von der fehlerhaften Behandlung des dynamischen Indexladens durch den V8 TurboFan-Compiler bei der Optimierung der Store-Store-Elimination her, die zu einer falschen Klassifizierung von Alias-Beziehungen führt, wodurch kritische Store-Operationen fälschlicherweise eliminiert werden, was wiederum zu einem Out-of-Bounds-Speicherzugriff führt. Angreifer können speziell gestaltete HTML-Seiten erstellen, um einen Benutzerzugriff zu erzwingen, die Ausführung von bösartigem JavaScript-Code auszulösen, die Schwachstelle zur Remotecodeausführung und zum Ausbruch aus der Sandbox auszunutzen und schließlich die vollständige Kontrolle über das Gerät des Opfers zu übernehmen.

Apache Struts Codeausführungsschwachstelle (CVE-2023-50164) ermöglicht es einem Angreifer, die Parameter für den Datei-Upload zu kontrollieren, um Pfadüberquerungen durchzuführen und in einigen Fällen eine bösartige Datei hochzuladen, um beliebigen Code auszuführen.

Apache OFBiz ist ein Open-Source-Produkt für die Automatisierung von Unternehmensprozessen. Es umfasst Rahmenkomponenten und Geschäftsanwendungen für ERP, CRM, E-Commerce, Lieferkettenmanagement und Fertigungsressourcenplanung. In Apache OFBiz vor Version 18.12.10 besteht eine Schwachstelle in der Remotecodeausführung. Da xml-RPC nicht mehr gepflegt wird, könnte ein authentifizierter Angreifer xml-RPC verwenden, um eine entfernte Codeausführung auszunutzen und den Server zu kompromittieren.

Vor kurzem hat Google die HTTP/2-Protokollschwachstelle CVE-2023-44487 bekannt gegeben.
Angreifer können diese Schwachstelle nutzen, um kostengünstige Mega-Angriffe zu starten (http2-rapid-reset-ddos-attack). Angreifer haben mit dieser Methode seit August Angriffe auf Google Cloud Platform-Kunden gestartet, bei denen Angreifer in einem Angriff satte 398 Millionen Anfragen in einer Sekunde gesendet haben, was die höchste jemals aufgezeichnete Anzahl von Anfragen pro Sekunde ist.

BESCHREIBUNG: cURL ist ein vielseitiges Open-Source-Befehlszeilentool für eine Vielzahl von Anwendungen, das die URL-Syntax zur Datenübertragung verwendet und eine Vielzahl von Netzwerkprotokollen wie SSL, TLS, HTTP, FTP und SMTP unterstützt. libcurl ist ...