Tech Blog

Eine kritische Sicherheitslücke in der Traccar GPS-Tracking-Software ermöglicht es authentifizierten Nutzern, willkürlichen JavaScript-Code im Browser anderer Nutzer auszuführen. Das Problem liegt in der unzureichenden Überprüfung von hochgeladenen SVG-Dateien, die als Gerätebilder dienen. Bis zum Zeitpunkt der Veröffentlichung ist unklar, ob ein Patch verfügbar ist.

Eine kritische Sicherheitslücke in D-Link DWR-M960 Routern mit Firmware Version 1.01.07 ermöglicht Angreifern einen stapelbasierten Puffer-Überlauf auszunutzen. Dies kann zu Fernsteuerung des Systems führen. Ein Exploit ist bereits veröffentlicht, also sollten Administratoren dringend ein Firmware-Update einspielen, sobald es verfügbar ist.

Eine Sicherheitslücke mit hoher Schwere (CVSS 8.8) wurde in D-Link DWR-M960 Routern mit Firmware Version 1.01.07 entdeckt. Die Schwachstelle ermöglicht Angreifern durch Manipulation des "submit-url" Parameters einen Pufferüberlauf auszulösen und damit potenziell die Kontrolle über das Gerät zu erlangen. Der Exploit ist bereits öffentlich und kann ausgenutzt werden. Betroffene Anwender sollten dringend ein Firmware-Update installieren, sobald dieses von D-Link bereitgestellt wird.

Eine kritische Sicherheitslücke mit der Bewertung 10.0 erlaubt Angreifern in Firefox und Thunderbird vor Version 148 sowie in älteren ESR-Versionen, aus der Sandbox auszubrechen. Betroffen sind damit zentrale Komponenten der Browser-Rendering-Engine. Sysadmins sollten dringend auf die neuesten Versionen updaten, um Systeme vor möglichen Kompromittierungen zu schützen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-27847 ermöglicht es Angreifern, über die fehlerhafte Neutralisierung von Sonderzeichen SQL-Injektionen in den TLS-SRP-Handshake einzuschleusen. Dadurch können bekannte Zugangsdaten in die Datenbank eingeschleust werden, um den geschützten Dienst zu kompromittieren. Betroffen sind die Gerätemodelle MR9600: 1.0.4.205530 und MX4200: 1.0.13.210200.

Eine kritische Sicherheitslücke (CVE-2026-27728) in der Monitoring-Lösung OneUptime ermöglichte bis zur Version 10.0.7 jedes authentifizierten Nutzers, beliebige Betriebssystembefehle auf dem Probe-Server auszuführen. Die Schwachstelle steckte in der Funktion "NetworkPathMonitor.performTraceroute()", die unsanitierte Eingaben in der Zieldestination akzeptierte. Ein Patch in Version 10.0.7 schließt diese Sicherheitslücke.

Das Drupal-Modul "Tagify" weist eine moderate Sicherheitslücke auf, die es Angreifern ermöglicht, beliebigen JavaScript-Code auf der Zielseite auszuführen. Dies kann zu Identitätsdiebstahl, Datenmanipulation oder anderen böswilligen Aktivitäten führen. Nutzer sollten umgehend auf die neueste Version des Moduls aktualisieren, um sich vor dieser Schwachstelle zu schützen.

Die Node.js-Bibliothek "basic-ftp" hat eine kritische Sicherheitslücke, die es böswilligen FTP-Servern ermöglicht, durch Pfad-Traversal-Sequenzen Dateien außerhalb des vorgesehenen Download-Verzeichnisses zu schreiben. Das Problem betrifft alle Versionen vor 5.2.0 und wurde in dieser Version behoben.

Sicherheitsforscher haben mehrere Sicherheitslücken in Anthropic's KI-Coding-Assistent "Claude Code" entdeckt. Die Schwachstellen ermöglichen das Ausführen von Schadcode und das Ausspähen von API-Zugangsdaten. Die Lücken betreffen verschiedene Konfigurationsmechanismen wie Hooks, MCP-Server und Umgebungsvariablen. Ein Patch ist bislang nicht verfügbar, Nutzer sollten die Verwendung des Tools daher kritisch überdenken.

Eine kritische Schwachstelle in der Antikor Next Generation Firewall von ePati Cyber Security Technologies erlaubt das Umgehen der Authentifizierung. Angreifer können so unbefugten Zugriff auf wichtige Netzwerkfunktionen erlangen und schwerwiegende Sicherheitsvorfälle verursachen. Das Problem betrifft Versionen vor v.2.0.1301 und erfordert dringende Aktualisierung.