Forscher haben eine kritische Schwachstelle in phpBB bis Version 3.3.16 und 4.0.0-a2 offengelegt. Die Authentifizierungsumgehung erlaubt laut Bericht mit einer einzelnen nicht authentifizierten HTTP-Anfrage die Imitation beliebiger Nutzerkonten, auch von Administratoren. Dadurch werden private Nachrichten und Foreninhalte zugänglich, zudem ist eine vollständige administrative Kontrolle möglich. phpBB empfiehlt ein Upgrade auf 3.3.17 oder den aktuellen Master-Zweig. Der über HackerOne gemeldete Fehler wurde binnen weniger Tage behoben, dennoch sollen weiterhin Tausende aktive Foren exponiert sein.

Ein weiterer Schwerpunkt ist ein Supply-Chain-Angriff auf WordPress-Plugins von Awesome Motive. Angreifer schleusten bösartiges JavaScript in die CDN-Skripte von OptinMonster, TrustPulse und PushEngage ein. Der Schadcode wird für eingeloggte Administratoren aktiv, legt unautorisierte Administratorkonten an und installiert ein verborgenes Backdoor-Plugin. Als Ursache nennt der Bericht eine kompromittierte UpdraftPlus-Instanz samt CDN-Schlüssel. Nach Einschätzung im Quelltext könnten mehr als 1,2 Millionen WordPress-Seiten betroffen sein.

Bei Chrome-Erweiterungen berichten Forscher über kritische Schwachstellen in den seitlichen KI-Erweiterungen SiderAI, auch Spyder genannt, und MaxAI, bezeichnet als MaXSS. Bösartige Websites könnten dadurch beliebige Erweiterungsaktionen auslösen, darunter verdeckte Bildschirmaufnahmen von Tabs, das Auslesen von KI-Speicherinhalten und potenziell Dateizugriffe. Mit zusammen mehr als 10 Millionen Installationen und ohne Reaktion der Hersteller ermögliche das eine vollständige Kompromittierung von Browser-Sitzungen und Kontoübernahmen ohne Benutzerinteraktion. Nutzern wird geraten, die Erweiterungen bis zu einer Korrektur zu entfernen.

Apple hat für Beats Studio Buds die Firmware-Version 1B211 veröffentlicht, die CVE-2025-20701 schließt. Die Schwachstelle erlaubte es nahe befindlichen Angreifern, über das Mikrofon ungekoppelter Geräte mitzuhören, wenn diese aktiv nach Verbindungen suchten. Die Aktualisierung wird laut Bericht automatisch eingespielt, sobald die Geräte mit Apple-Hardware gekoppelt sind. CVE-2025-20701 ist demnach eine von drei im vergangenen Jahr offengelegten Bluetooth-Sicherheitslücken, die Geräte mehrerer großer Hersteller betreffen.

Für die Google-Cloud nennt der Bericht eine sogenannte Confused-Deputy-Schwachstelle in Config Connector. Jeder Nutzer eines Kubernetes-Namespace könne durch Einreichen eines präparierten IAMPolicyMember bis zur Rolle GCP Organization Owner aufsteigen. Google habe das Problem intern als P1/S1 bestätigt, später aber als „funktioniert wie beabsichtigt“ eingestuft und nicht behoben. Betroffen seien Organisationen, die den Dienst für Verwaltung auf Organisationsebene einsetzen.

Mindestens 15 bösartige Plugins im JetBrains Marketplace sollen API-Schlüssel für OpenAI, DeepSeek und ähnliche Dienste exfiltrieren. Laut Bericht stammen sie von verschiedenen Anbieter-Konten, funktionieren vordergründig wie beworben und kommen auf fast 70.000 Installationen. Die Schlüssel würden im Klartext an einen fest kodierten Angreifer-Server gesendet. Zudem gebe es Hinweise, dass der gestohlene Zugriff an zahlende Nutzer weiterverkauft wird.

Abseits der Schwachstellen erwähnt der Überblick weitere Vorfälle: Die China-nahe Gruppe Velvet Ant soll seit etwa 2016 ein segmentiertes Netzwerk einer Organisation kompromittiert und dafür internetseitige Einstiegspunkte, Nginx-/FastCGI-Proxys sowie manipulierte PAM- und OpenSSH-Komponenten für Zugangsdiebstahl und Persistenz kombiniert haben. Forscher verknüpfen zudem das große Android-TV-Botnetz Popa mit NetNut, das von dem börsennotierten israelischen Unternehmen Alarum Technologies betrieben wird. NetNut und Alarum weisen die Vorwürfe zurück und sprechen von „nachweislich unzutreffenden Behauptungen und fehlerhaften Schlussfolgerungen statt verifizierter Fakten“. Außerdem veröffentlichte ShinyHunters Daten des Madison Square Garden, darunter Informationen zu Knicks-nahem „Talent“ sowie Kundekorrespondenz, im Anschluss an einen Einbruch vom 5. Juni.

Daneben kündigte AWS mit Continuum ein neues KI-gestütztes Werkzeug an, das Unternehmen beim Auffinden, Priorisieren, Validieren und Beheben von Schwachstellen unterstützen soll. Das Angebot ist in einer eingeschränkten Vorabversion verfügbar und priorisiert Funde aus vorhandenen Werkzeugen sowie eigenen Scans anhand ihrer Ausnutzbarkeit in der jeweiligen Umgebung. Das US-Verkehrsministerium wiederum beendete seine Untersuchung zu Deltas langwieriger Erholung vom globalen CrowdStrike-Zwischenfall 2024 ohne Sanktionen. Die Ermittler kamen zu dem Schluss, dass die Fluggesellschaft angemessene Erstattungen, Gepäckhilfe und Unterstützung für Passagiere mit Behinderungen geleistet habe.