Tech Blog

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-3164 wurde im itsourcecode News Portal Projekt 1.0 entdeckt. Durch Manipulation des Parameters "pagetitle" in der Datei "/admin/contactus.php" kann eine SQL-Injektion ausgeführt werden. Der Angriff kann aus der Ferne erfolgen, da der Exploit öffentlich bekannt ist. Admins sollten dringend ein Update auf eine nicht anfällige Version vornehmen, um die Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke im GCOM EPON 1GE C00R371V00B01-Router ermöglicht es remote authentifizierten Angreifern, Administratoreinstellungen zu ändern und Administratorpasswörter abzugreifen. Die Schwachstelle erlaubt somit eine unberechtigte Rechteausweitung. Betroffene Nutzer sollten zeitnah ein Firmware-Update einspielen, sobald der Hersteller eine Lösung bereitstellt.

Eine schwerwiegende Sicherheitslücke mit der CVE-ID CVE-2026-2787 wurde in den DOM-Komponenten "Window" und "Location" von Firefox und Thunderbird entdeckt. Betroffen sind Firefox-Versionen unter 148, Firefox ESR unter 115.33 und 140.8 sowie Thunderbird-Versionen unter 148 und 140.8. Die Lücke ermöglicht Angreifern die Ausführung von beliebigem Code. Benutzer werden dringend empfohlen, ihre Browser und E-Mail-Clients auf die neuesten sicheren Versionen zu aktualisieren, sobald entsprechende Patches verfügbar sind. Insgesamt wurden 13 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-2787, CVE-2026-2789, CVE-2026-2765, CVE-2026-2766, CVE-2026-2767, CVE-2026-2770, CVE-2026-2774, CVE-2026-2776, CVE-2026-2797, CVE-2026-2796, CVE-2026-2795, CVE-2026-2782, CVE-2026-2780).

Eine schwerwiegende Sicherheitslücke mit der CVE-ID CVE-2026-2788 wurde in den Audio/Video-Komponenten von Firefox und Thunderbird entdeckt. Mit einem Schweregrad von 9.8 ermöglicht diese Lücke potenziell die Ausführung von beliebigem Code. Betroffen sind Firefox-Versionen unter 148, Firefox ESR unter 115.33 und 140.8 sowie Thunderbird-Versionen unter 148 und 140.8. Nutzer sollten umgehend auf die neuesten Versionen dieser Programme aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen. Insgesamt wurden 5 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-2788, CVE-2026-2791, CVE-2026-2771, CVE-2026-2772, CVE-2026-2773).

In einer älteren Version von Google Chrome (vor 145.0.7632.116) wurde eine kritische Sicherheitslücke entdeckt, die es einem Angreifer ermöglicht, über eine präparierte HTML-Seite einen Out-of-Bounds-Speicherzugriff durchzuführen. Die Schwachstelle, die als CVE-2026-3061 katalogisiert ist, wurde von den Chromium-Entwicklern als "hoch" eingestuft. Betroffene Nutzer sollten ihre Chrome-Installation zeitnah auf die neueste Version aktualisieren, um sich vor möglichen Attacken zu schützen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-3062 in Google Chrome für macOS ermöglichte es Angreifern, durch präparierte HTML-Seiten unkontrollierten Speicherzugriff zu erlangen. Die Schwachstelle mit einem Schweregrad von 9.8 wurde in Chrome-Version 145.0.7632.116 behoben. Sysadmins sollten ihre Chrome-Installation umgehend auf den aktuellen Stand bringen, um sich vor diesem Remote-Exploit zu schützen.

Eine hochkritische Sicherheitslücke in den JavaScript-Engines von Firefox und Thunderbird ermöglicht Angreifern die Ausführung von beliebigem Code. Die Schwachstelle betrifft Versionen vor 148 sowie ältere Extended Support Releases. Nutzer sollten dringend auf die neuesten Versionen updaten, um sich vor dieser Lücke mit einer Bewertung von 9.8/10 zu schützen.

In Firefox und Thunderbird wurde eine kritische Sicherheitslücke (CVE-2026-2768) entdeckt, die es Angreifern ermöglicht, die Sandbox-Beschränkungen zu umgehen. Betroffen sind Firefox-Versionen unter 148 und Thunderbird-Versionen unter 148 sowie deren jeweiligen Extended Support Releases. Die Schwachstelle kann für Schadcode-Ausführung ausgenutzt werden. Nutzer sollten umgehend auf die neuesten, sicheren Versionen der Browser und E-Mail-Clients aktualisieren.

Die Datenbank-Initialisierung des E-Commerce-Frameworks newbee-mall enthält voreingestellte Administratorkonten mit vorhersagbaren Standardpasswörtern. Werden diese Standardzugangsdaten nicht geändert, können Angreifer sich ohne Authentifizierung als Administratoren anmelden und die volle Kontrolle über die Anwendung erlangen.

Die Einzelhandelssoftware "newbee-mall" speichert und überprüft Benutzerpasswörter mit einem unsicheren MD5-Hashalgorithmus ohne Salt. Angreifer können so leicht an die Klartext-Passwörter gelangen, sollten die Passwort-Hashes kompromittiert werden. Das ist eine kritische Sicherheitslücke, die dringend behoben werden muss.