Bexxo unterstützt Schweizer KMU bei ihrer IT-Sicherheit.
SwissLabel
Swiss Label Zertifizierung
Bexxo ist Swiss Label zertifiziert — das Qualitätslabel garantiert, dass unsere Dienstleistungen in der Schweiz, von einem Schweizer Unternehmen und nach Schweizer Qualitätsstandards erbracht werden.
CyberSafe Switzerland Partner
Bexxo ist zertifizierter CyberSafe Switzerland Partner — das offizielle Programm des Bundes zur Förderung der Cybersicherheit für Schweizer Unternehmen.
Unsere Cybersicherheitsdienste
Sicherheit von Internetseiten
01 Vollständiges Audit und Schwachstellenerkennung
Ein Bexxo Web-Audit ist eine umfassende technische Prüfung der Unternehmenswebsite: automatisierte und manuelle Analyse der Schwachstellen (OWASP Top 10, SQL-Injections, XSS, CSRF, Serverkonfiguration), Bericht nach Kritikalität geordnet und priorisierter Aktionsplan. Unsere Kunden beheben durchschnittlich 12 bis 15 Schwachstellen pro Mandat — mit einem klaren Sanierungsplan, bevor sie ausgenutzt werden konnten.
02 Schutz vor Angriffen
Bexxo implementiert Schutzmaßnahmen gegen die häufigsten Angriffsvektoren: SQL-Injection, XSS, CSRF, Brute-Force und Clickjacking. Diese Vektoren machen 88 % der erfassten Web-Angriffe aus (Verizon DBIR 2025) — sie zu identifizieren und zu blockieren reicht aus, um den Großteil des Risikos zu eliminieren. Jede Maßnahme wird im Auditbericht mit ihrem Kritikalitätsgrad dokumentiert.
03 Datensicherung
Das revDSG (in Kraft seit dem 1. September 2023) legt klare Pflichten zur Sicherung personenbezogener Daten für alle Schweizer Unternehmen fest. Bexxo begleitet KMU bei der Bewertung ihrer revDSG-Konformität, der Identifizierung von Lücken und der Umsetzung der erforderlichen technischen Massnahmen — Bussen von bis zu 250 000 CHF betreffen unsere Kunden schlicht nicht.
Sicherheit von Unternehmensnetzwerken
01 Audit und Analyse der Netzwerkinfrastruktur
Unser Netzwerk-Audit kartiert sämtliche exponierten Angriffsvektoren Ihrer Infrastruktur, mit einem Bericht nach ISO 27001 und NIST CSF. Im Jahr 2024 registrierte das Bundesamt für Cybersicherheit 62 954 Vorfälle in der Schweiz: ein guter Grund, genau zu wissen, wo Sie stehen.
02 Globaler Schutz der IT-Infrastruktur
CVE Find, das proprietäre Tool von Bexxo, integriert die MITRE-, NVD- und CISA-KEV-Datenbanken in Echtzeit und sendet eine Warnung, sobald eine bekannte Schwachstelle die Systeme des Kunden betrifft. Ohne aktive Überwachung beträgt die durchschnittliche Erkennungszeit einer Netzwerkverletzung 241 Tage (IBM Cost of a Data Breach 2025) — CVE Find reduziert diese auf wenige Stunden.
03 Sicherung von Zugriffen und sensiblen Daten
Bexxo prüft Authentifizierungsrichtlinien, bewertet die Passwortstärke, implementiert MFA und sichert Administrator- und VPN-Zugänge. Kompromittierte Zugangsdaten sind für 22 % der Datenschutzverletzungen verantwortlich (Verizon DBIR 2025) — der häufigste Angriffsvektor, und zugleich der einfachste, der sich mit den richtigen Massnahmen beheben lässt.
Unsere Cybersicherheitslösungen
Wir analysieren Ihre gesamte IT-Infrastruktur, um potenzielle Schwachstellen zu identifizieren und die Sicherheit Ihrer Verbindungen, Geräte und Protokolle zu verbessern.
Mehr erfahren
Wir führen eine tiefgehende Diagnose Ihrer Website durch, um Schwachstellen aufzudecken und ihren Schutz vor Cyberangriffen wie SQL-Injectionen, XSS-Lücken und Brute-Force-Angriffen zu verstärken.
Mehr erfahren
Unsere Experten unterstützen Sie bei der Entwicklung und Optimierung Ihrer IT-Sicherheitsrichtlinie. Gemeinsam definieren wir eine maßgeschneiderte Strategie, um Ihre Systeme zu sichern, Risiken zu reduzieren und Ihre Compliance mit den geltenden Vorschriften zu gewährleisten.
Mehr erfahren
Wir implementieren fortschrittliche Technologien zum Schutz Ihrer Infrastrukturen, Netzwerke und sensiblen Daten. Vom Zugriffsmanagement bis zur Informationsverschlüsselung gewährleisten wir einen wirksamen Schutz vor Cyberbedrohungen.
Mehr erfahren
Warum Bexxo wählen?
Neueste Überlegungen
Wie wir mit Ihnen zusammenarbeiten
Zuhören und Verstehen
Ein erstes Gespräch (30–60 Min.), um Ihre Systeme, sensiblen Daten und rechtlichen Pflichten (nDSG, ISO 27001) zu erfassen. Kein Fachjargon — wir sprechen Ihre Sprache.
Gründliche Analyse
Manuelle und automatisierte Analyse Ihrer Web- und Netzwerksysteme. Dauer: 3 bis 10 Tage je nach Komplexität. Ergebnis: eine vollständige Schwachstellenkarte, geordnet nach Kritikalität.
Korrektur und Stärkung
Sie erhalten einen detaillierten Bericht mit einem priorisierten Massnahmenplan. Unsere Teams können die Korrekturen direkt umsetzen oder Ihre IT-Teams bei der Behebung begleiten.
Ständige Wachsamkeit
Kontinuierliche Überwachung via CVE Find, Echtzeit-Benachrichtigungen bei neuen Schwachstellen, die Ihre Systeme betreffen, und regelmässige Follow-up-Berichte.
Eine Cybersicherheit, die auf Ihre Herausforderungen zugeschnitten ist
Cyberangriffe werden immer raffinierter und können katastrophale Folgen für Unternehmen haben: Verlust kritischer Daten, Rufschädigung, behördliche Sanktionen und Betriebsunterbrechungen. Um diese Risiken zu vermeiden, ist es entscheidend, eine robuste und proaktive Cybersicherheitsstrategie zu implementieren.
Bei Bexxo bieten wir maßgeschneiderte Schutzlösungen, die an Ihre Bedürfnisse angepasst sind und den anspruchsvollsten Sicherheitsstandards wie ISO 27001/27002 und NIST entsprechen. Gemäß den Empfehlungen des NCSC analysieren, erkennen und beheben wir Schwachstellen in Ihrer Infrastruktur, um optimalen Schutz zu gewährleisten.
Bleiben Sie einen Schritt voraus mit den neuesten kritischen Sicherheitslücken.
CVE-2026-42605 - HIGH
09/05/2026
AzuraCast is a self-hosted, all-in-one web radio management suite. Prior to version 0.23.6, the currentDirectory request parameter in the Flow.js media upload endpoint (POST /api/station/{station_id}/files/upload) is not sanitized for path traversal sequences. When combined with a local filesystem storage backend (the default), an authenticated user with media management permissions can write arbi...
directorytraversalOWSAP: A01
CVE-2026-42569 - CRITICAL
09/05/2026
phpVMS is a PHP application to run and simulate an airline. Prior to version 7.0.6, a critical vulnerability in phpVMS allowed unauthenticated access to a legacy import feature. This issue has been patched in version 7.0.6.
authorisationproblemOWSAP: A01OWSAP: A07
CVE-2026-42562 - HIGH
09/05/2026
Plainpad is a self hosted note taking app. Prior to version 1.1.1, Plainpad allows a low-privilege authenticated user to self-escalate to administrator by submitting admin=true in PUT /api.php/v1/users/{id}. The endpoint directly persists the admin attribute from user input, and the escalated account can immediately access admin-only routes. This issue has been patched in version 1.1.1.
priviliegemanagementOWSAP: A04
CVE-2026-42560 - CRITICAL
09/05/2026
auth provides authentication via oauth2, direct and email. From versions 1.18.0 to before 1.25.2 and 2.0.0 to before 2.1.2, the Patreon OAuth provider maps every authenticated Patreon account to the same local user.ID, instead of deriving a unique ID from the Patreon account returned by Patreon. In practice, this means all Patreon-authenticated users of an application using this library are collap...
authorisationproblemOWSAP: A07
CVE-2026-41705 - HIGH
09/05/2026
Spring AI's MilvusVectorStore#doDelete(List) implementation is vulnerable to filter-expression injection via unsanitized document IDs. Spring AI 1.0.x: affected from 1.0.0 through latest 1.0.x; upgrade to 1.0.7 or greater. Spring AI 1.1.x: affected from 1.1.0 through latest 1.1.x; upgrade to 1.1.6 or greater.
OWSAP: A03
CVE-2026-44313 - CRITICAL
09/05/2026
Linkwarden is a self-hosted, open-source collaborative bookmark manager to collect, organize and archive webpages. Prior to version 2.13.0, a Server-Side Request Forgery (SSRF) vulnerability in the fetchTitleAndHeaders function allows authenticated users to make arbitrary HTTP requests to internal services due to insufficient URL validation that only checks for "http://" or "https://" prefixes. Th...
ssrfOWSAP: A10
CVE-2026-42556 - HIGH
08/05/2026
Postiz is an AI social media scheduling tool. From version 2.21.6 to before version 2.21.7, any authenticated user who can create a post can store arbitrary HTML in post content by tampering their own save request and send the public preview link /p/
crosssitescriptingOWSAP: A03
CVE-2026-42454 - CRITICAL
08/05/2026
Termix is a web-based server management platform with SSH terminal, tunneling, and file editing capabilities. Prior to version 2.1.0, all Docker container management endpoints in Termix interpolate the containerId URL path parameter and WebSocket message field directly into shell commands executed via ssh2.Client.exec() on remote managed servers without any sanitization or validation. An authentic...
oscommandinjectionOWSAP: A03
CVE-2026-42354 - CRITICAL
08/05/2026
Sentry is an error tracking and performance monitoring tool. From version 21.12.0 to before version 26.4.1, a critical vulnerability was discovered in the SAML SSO implementation of Sentry. The vulnerability allows an attacker to take over any user account by using a malicious SAML Identity Provider and another organization on the same Sentry instance. The victim email address must be known in ord...
OWSAP: A07
CVE-2026-42352 - HIGH
08/05/2026
pygeoapi is a Python server implementation of the OGC API suite of standards. From version 0.23.0 to before version 0.23.3, OGC API process execution requests can use the subscriber object to requests to internal HTTP services. This issue has been patched in version 0.23.3.
ssrfOWSAP: A10
CVE-2026-42302 - CRITICAL
08/05/2026
FastGPT is an AI Agent building platform. From version 4.14.10 to before version 4.14.13, the agent-sandbox component of FastGPT is vulnerable to unauthenticated Remote Code Execution (RCE). The startup script entrypoint.sh initializes code-server with the --auth none flag and binds the service to all network interfaces (0.0.0.0:8080). This configuration allows any user with network access to the ...
authorisationproblemOWSAP: A07
CVE-2026-42298 - CRITICAL
08/05/2026
Postiz is an AI social media scheduling tool. Prior to commit da44801, a "Pwn Request" vulnerability in the Build and Publish PR Docker Image workflow (.github/workflows/pr-docker-build.yml) allows any unauthenticated user to execute arbitrary code during the Docker build process and exfiltrate a highly privileged GITHUB_TOKEN (write-all permissions). This can be achieved simply by opening a Pull ...
codeinjectionOWSAP: A03
CVE-2026-42205 - HIGH
08/05/2026
Avo is a framework to create admin panels for Ruby on Rails apps. Prior to version 3.31.2, a broken access control vulnerability was identified in the ActionsController of the Avo framework. Due to insecure action lookup logic, an authenticated user can execute any Action class (descendants of Avo::BaseAction) on any resource, even if the action is not registered for that specific resource. This l...
authorisationproblemOWSAP: A01
CVE-2026-42193 - CRITICAL
08/05/2026
Plunk is an open-source email platform built on top of AWS SES. Prior to version 0.9.0, the /webhooks/sns endpoint accepts Amazon SNS notification payloads from unauthenticated requests without verifying the SNS signature, certificate, or topic ARN, meaning anyone can forge a valid-looking webhook request. This allows an unauthenticated attacker to spoof SNS events to trigger workflow automations,...
OWSAP: A02
CVE-2026-29203 - HIGH
08/05/2026
A chmod call in the cPanel Nova plugin's Cpanel::Nova::Connector follows symlinks, allowing setting root permissions on arbitrary system files or directories. That can cause DoS or local privilege escalation when an authenticated cPanel user places a symlink at a user-controlled legacy Nova path under their home directory.
CVE-2026-29202 - HIGH
08/05/2026
Insufficient input validation of the `plugin` parameter of the `create_user` plugin allows arbitrary Perl code execution on behalf of the already authenticated account's system user.
OWSAP: A03
CVE-2026-42072 - CRITICAL
08/05/2026
Nornicdb is a distributed low-latency, Graph+Vector, Temporal MVCC with all sub-ms HNSW search, graph traversal, and writes. Prior to version 1.0.42-hotfix, the --address CLI flag (and NORNICDB_ADDRESS / server.host config key) is plumbed through to the HTTP server correctly but never reaches the Bolt server config. The Bolt listener therefore always binds to the wildcard address (all interfaces),...
CVE-2026-38360 - CRITICAL
08/05/2026
Directory Traversal vulnerability in fohrloop dash-uploader v.0.1.0 through v.0.7.0a2 allows a remote attacker to execute arbitrary code via the dash_uploader/httprequesthandler.py, aseHttpRequestHandler.get_temp_root(), BaseHttpRequestHandler._post() components
directorytraversalOWSAP: A01
CVE-2026-41693 - HIGH
08/05/2026
i18next-fs-backend is a backend layer for i18next using in Node.js and for Deno to load translations from the filesystem. Prior to version 2.6.4, i18next-fs-backend substitutes the lng and ns options directly into the configured loadPath / addPath templates and then read / write the resulting file from disk. The interpolation is unencoded and unvalidated, so a crafted lng or ns value — containin...
directorytraversalOWSAP: A01OWSAP: A04
CVE-2026-41690 - HIGH
08/05/2026
18next-http-middleware is a middleware to be used with Node.js web frameworks like express or Fastify and also for Deno. Versions prior to 3.9.3 allow an unauthenticated HTTP client to pollute Object.prototype in the Node.js process hosting the middleware, via two unvalidated entry points that reach internal object-key writes: getResourcesHandler and missingKeyHandler. This can break authorisation...
directorytraversalOWSAP: A01