Tech Blog

Die Version von qmail vor 2026.04.07 ist von einer kritischen Sicherheitslücke betroffen, die Remote-Code-Ausführung ermöglicht. Die Schwachstelle liegt in der Funktion "notlshosts_auto" in der Datei "qmail-remote.c" und hängt mit der Verwendung von "popen" zusammen. Betreiber von qmail-Servern sollten dringend auf die aktuelle Version updaten, um diese Lücke zu schließen.

Eine logische Fehlkonstruktion in mehreren Funktionen der ffa.c-Datei führt zu möglicher Speicherkorrumpierung. Dies kann lokal zur Eskalation von Benutzerrechten ausgenutzt werden, ohne weitere Ausführungsberechtigungen zu benötigen. Für den Exploit ist keine Interaktion des Nutzers erforderlich.

Eine Schwachstelle in Jellyfin, einem Open-Source-Medienserver, ermöglicht es Angreifern, durch fehlerhafte Überprüfung der Live-TV-Tuner-Endpunkte lokal Dateien auszulesen und Server-seitige Anfrage-Fälschung (SSRF) durchzuführen. Dadurch können Angreifer die Datenbank des Servers auslesen und Administratorrechte erlangen. Das Problem betrifft Versionen vor 10.11.7 und kann durch Deaktivieren der Live-TV-Verwaltungsrechte für Nutzer oder durch ein Update behoben werden.

Chamilo LMS, ein Open-Source-Lernmanagementsystem, wies vor Version 2.0.0-RC.3 eine kritische Sicherheitslücke auf. Unauthentifizierte Angreifer konnten über den PENS-Plugin-Endpunkt Server-Side Request Forgery (SSRF) ausführen und so interne Netzwerkdienste, Cloud-Metadaten und sensible Instanzdaten ausspähen oder Änderungen an internen Diensten vornehmen. Die Lücke wurde in Version 2.0.0-RC.3 behoben.

Eine Schwachstelle in der CLI von Juniper Junos OS auf MX-Geräten ermöglicht Nutzern mit geringen Rechten, spezifische Befehle auszuführen und so eine vollständige Kontrolle über die verwalteten Geräte zu erlangen. Betroffen sind Junos OS-Versionen vor 24.4R2-S3 und 25.2R2. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Eine Sicherheitslücke in der EnOcean SmartServer IoT-Software (Versionen bis 4.60.009) erlaubt es Angreifern, durch speziell präparierte Netzwerknachrichten beliebige Befehle auf dem Gerät auszuführen. Betroffen sind Systeme, die das LON IP-852-Protokoll für das Netzwerkmanagement verwenden. Hersteller EnOcean hat ein Update veröffentlicht, um die Schwachstelle CVE-2026-20761 zu schließen.

In der Photolia-Plugin-Version 1.0.3 und älter wurde eine kritische PHP-Sicherheitslücke entdeckt. Angreifer können damit lokal Dateien auf dem Server einbinden und ausführen. Betroffen sind alle Photolia-Nutzer, die das Plugin nicht zeitnah auf die neueste Version aktualisieren. Ein Patch ist verfügbar, der das Problem behebt. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22362, CVE-2026-22365).

Eine kritische Schwachstelle im Parkivia-Plugin von AncoraThemes ermöglicht es Angreifern, über eine PHP-Dateieinbindung auf dem Server beliebigen Code auszuführen. Betroffen sind alle Versionen des Plugins von n/a bis einschließlich 1.1.9. Nutzer sollten das Plugin umgehend auf die neueste Version aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

Die Steuerungseinheit (PLC) des betroffenen Geräts kann ohne angemessene Sicherheitsmaßnahmen oder Authentifizierung aus der Ferne beeinflusst werden. Dadurch besteht die Gefahr einer unkontrollierten Manipulation mit schwerwiegenden technischen Auswirkungen. Solange kein Patch verfügbar ist, empfiehlt sich eine restriktive Zugriffskontrolle und Netzwerktrennung, um das Risiko einer Kompromittierung zu minimieren.

Das Laravel-Paket "goodoneuz/pay-uz" bis Version 2.2.24 weist eine kritische Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, beliebigen PHP-Code auf dem Server auszuführen. Die Schwachstelle liegt in einem Endpunkt, der Dateien ohne Authentifizierung überschreiben kann. Dadurch können Angreifer ihre Schadcode-Dateien einschleusen, die dann im Kontext der Anwendung ausgeführt werden. Der vom Hersteller empfohlene Sicherheitstoken bietet keinen ausreichenden Schutz. Anwender sollten das Paket umgehend auf eine neuere, sicherere Version aktualisieren.