Tech Blog

Mehrere kritische Sicherheitslücken in der Centreon-Plattform für Netzwerküber-wachung und Ticketing-Management wurden entdeckt. Die Lücken CVE-2026-2749 und CVE-2026-2750 ermöglichen unbefugten Zugriff und Kontrolle über zentrale Ticketing-Funktionen. Betroffen sind Versionen vor 25.10.3, 24.10.8 und 24.04.7. Administratoren sollten dringend Patches installieren, um die Sicherheit zu verbessern und Risiken zu mindern.

Eine Sicherheitslücke in der E-Commerce-Plattform von Dayneks Software Industry and Trade Inc. ermöglicht SQL-Injektionsangriffe. Angreifer können SQL-Abfragen manipulieren und so möglicherweise sensible Daten ausspähen und die Datenbankintegrität gefährden. Trotz Benachrichtigung des Herstellers gibt es bislang keine Reaktion, sodass Nutzer ihre Anwendungen schnellstmöglich sichern müssen.

Das Programm Windesk.Fm des Unternehmens Signum Technology Promotion and Training Inc. ist anfällig für SQL-Injection-Angriffe. Angreifer können dadurch die Datenbank manipulieren und möglicherweise auf sensible Informationen zugreifen. Betreiber sollten ihre Systeme umgehend überprüfen und geeignete Gegenmaßnahmen ergreifen, um eine Ausnutzung der Schwachstelle zu verhindern. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-11252, CVE-2025-11252).

Eine Sicherheitslücke in Xerox FreeFlow Core ermöglicht es Angreifern, durch fehlerhafte Pfadeinschränkungen auf eingeschränkte Verzeichnisse zuzugreifen. Das Pfadtraversal-Problem kann potenziell zu Remote Code Execution (RCE) führen und stellt somit eine erhebliche Bedrohung für die Systemintegrität dar. Nutzer werden dringend empfohlen, auf Version 8.1.0 von FreeFlow Core zu aktualisieren, um diese Schwachstelle zu beheben.

Forscher entdeckten eine Schwachstelle in OpenClaw, die es Angreifern ermöglicht, die lokalen KI-Agenten zu übernehmen. Durch eine Kombination von Design-Entscheidungen wie automatische Gerätekopplung und mangelnde Authentifizierung können Schadsoftware-Skripte die Kontrolle über die Agenten erlangen. Das erhöht das Risiko, dass Angreifer Zugriff auf sensible Daten, Berechtigungen und automatisierte Workflows erhalten.

Eine schwerwiegende Sicherheitslücke im WordPress-Theme "Listee" ermöglicht es Angreifern, sich ohne Authentifizierung als Administrator zu registrieren. Das Problem liegt in einer unzureichenden Validierung des "user_role"-Parameters beim Registrierungsprozess. Nutzer und Administratoren des Listee-Themes müssen dringend Updates installieren, um diese kritische Schwachstelle zu schließen.

Die Schwachstelle CVE-2026-20781 in der CloudCharge-Ladestation ermöglicht es Angreifern, sich ohne Authentifizierung mit dem OCPP-WebSocket-Endpunkt zu verbinden und als legitime Ladestation Befehle zu erteilen oder Daten zu manipulieren. Dies kann zu Eskalation von Berechtigungen, unkontrollierter Steuerung der Ladeinfrastruktur und Verfälschung von Abrechnungsdaten führen. Eine Authentifizierung der Ladestationen ist dringend erforderlich, um diese kritischen Sicherheitslücken zu schließen.

Die EV2GO-Plattform weist eine schwerwiegende Sicherheitslücke auf, bei der WebSocket-Endpunkte keine ordnungsgemäße Authentifizierung erfordern. Angreifer können sich so als legitime Ladestationen ausgeben und Daten im Backend manipulieren. Die Lücke mit der CVE-ID CVE-2026-24731 ermöglicht Privilegien-Eskalation, unkontrollierte Steuerung der Ladeinfrastruktur und Verfälschung von Netzwerkdaten. Bis ein Patch vorliegt, müssen Betreiber dringend Gegenmaßnahmen ergreifen.

Eine schwerwiegende Sicherheitslücke in der RustFS-Software erlaubt es Angreifern, durch eine kritische Cross-Site-Scripting-Schwachstelle die vollständige Kontrolle über den S3-Speicher zu erlangen. Betroffen sind Administratorkonten, die damit kompromittiert werden können. Nutzer sollten dringend auf ein Update wechseln, sobald ein Patch verfügbar ist.

In der Firmware des Tenda F453-Routers wurde eine hochgefährliche Schwachstelle entdeckt. Durch manipulierte Eingaben kann ein Angreifer einen Pufferüberlauf auslösen und so potenziell die Kontrolle über das Gerät erlangen. Der Exploit ist bereits öffentlich verfügbar, sodass Sicherheitslücke dringend geschlossen werden sollte.