Kategorie: Pentesting

Interne Tools werden oft vernachlässigt – ein tödlicher Fehler. Eine neue Sicherheitslücke im beliebten Projektmanagement-Tool Taiga.io (CVE-2025-62368) ermöglicht es Angreifern, über einen einfachen Benutzeraccount den gesamten Server zu kapern. Da Metasploit nun ein fertiges Modul liefert, ist Ihre interne Dokumentation und Planung akut gefährdet. Dieser Report erklärt die technische Mechanik der Python-Deserialisierung und wie Sie das Loch stopfen.

Während Sie schliefen, könnte Ihr Online-Shop zum Werkzeug für Kreditkartendiebe geworden sein. Eine neue kritische Schwachstelle in Magento und Adobe Commerce, genannt „SessionReaper“ (CVE-2025-54236), erlaubt Hackern die volle Serverübernahme – ganz ohne Passwort. Seit der Veröffentlichung eines automatischen Metasploit-Exploits zählt jede Stunde. In diesem Artikel erklären wir die Technik der „verschachtelten Deserialisierung“ und liefern einen Notfallplan zur Abwehr.

Es ist der Albtraum jedes Pentesters: Das eigene Werkzeug wird zur Hintertür. Mit dem neuesten Update bietet Metasploit ein Modul, das bösartige Erweiterungen in Burp Suite installiert, um dauerhaften Zugriff auf Systeme zu sichern. In diesem Deep Dive zeige ich dir, wie dieser „Hack the Hacker“-Angriff funktioniert, warum er Firewalls so elegant umgeht und wie du überprüfst, ob dein Burp noch dir gehört.