Tech Blog

In Firefox und Thunderbird wurde eine kritische Sicherheitslücke (CVE-2026-2768) entdeckt, die es Angreifern ermöglicht, die Sandbox-Beschränkungen zu umgehen. Betroffen sind Firefox-Versionen unter 148 und Thunderbird-Versionen unter 148 sowie deren jeweiligen Extended Support Releases. Die Schwachstelle kann für Schadcode-Ausführung ausgenutzt werden. Nutzer sollten umgehend auf die neuesten, sicheren Versionen der Browser und E-Mail-Clients aktualisieren.

Die Datenbank-Initialisierung des E-Commerce-Frameworks newbee-mall enthält voreingestellte Administratorkonten mit vorhersagbaren Standardpasswörtern. Werden diese Standardzugangsdaten nicht geändert, können Angreifer sich ohne Authentifizierung als Administratoren anmelden und die volle Kontrolle über die Anwendung erlangen.

Die Einzelhandelssoftware "newbee-mall" speichert und überprüft Benutzerpasswörter mit einem unsicheren MD5-Hashalgorithmus ohne Salt. Angreifer können so leicht an die Klartext-Passwörter gelangen, sollten die Passwort-Hashes kompromittiert werden. Das ist eine kritische Sicherheitslücke, die dringend behoben werden muss.

In Firefox und Thunderbird wurde eine kritische Sicherheitslücke im HTML-Parser-Komponente entdeckt, die es Angreifern ermöglicht, Schutzmaßnahmen zu umgehen. Betroffen sind Firefox-Versionen unter 148, Firefox ESR unter 115.33 und 140.8 sowie Thunderbird-Versionen unter 148 und 140.8. Ein Patch ist dringend erforderlich, um die Systeme vor Missbrauch zu schützen.

Eine schwerwiegende Sicherheitslücke in Juniper Junos OS Evolved ermöglicht es unauthentifizierten Angreifern, Schadcode mit Rootrechten auszuführen. Die Schwachstelle betrifft den standardmäßig aktivierten Anomalie-Erkennungsdienst, der fälschlicherweise von außen erreichbar ist. Ein Patch ist dringend erforderlich, um Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke in der Peering-Authentifizierung des Cisco Catalyst SD-WAN Controllers und Managers ermöglicht es einem unauthentifizierten Angreifer, sich als privilegierter Nutzer anzumelden und die Netzwerkkonfiguration zu manipulieren. Ein Patch ist dringend erforderlich, um diese kritische Schwachstelle zu schließen.

Die bleon-ethical API Gateway Version 1.0.0 ist anfällig für OS-Befehlseinschleusung und Rechteausweitung. Angreifer können damit beliebige Befehle mit Root-Rechten ausführen und so unkontrollierten Zugriff auf die Infrastruktur erlangen. Die Version 1.0.1 behebt dies jedoch durch Eingabesanitierung, Verwendung eines Nicht-Root-Nutzers und verbesserte Sicherheitsmaßnahmen.

Google hat ein Chrome-Update veröffentlicht, das gleich drei Sicherheitslücken im Browser behebt. Besonders brisant ist dabei die Lücke mit der CVE-ID CVE-2026-2441, die Angreifern potenziell die Ausführung von Schadcode ermöglicht. Anwender sollten das Update zeitnah einspielen, um sich vor Angriffen zu schützen.

Eine kritische Sicherheitslücke in der Zyxel EX3510-B0 Firmware ermöglicht es Angreifern, über die UPnP-Funktion beliebige Systembefehle auszuführen. Wenn diese Schwachstelle (CVE-2025-13942) erfolgreich ausgenutzt wird, können Hacker unkontrollierten Zugriff auf das Gerät erlangen und schwerwiegende Schäden verursachen. Betroffene Nutzer sollten dringend ein Firmware-Update installieren, sobald es vom Hersteller bereitgestellt wird.

Google hat mal wieder ein Notfall-Update für Chrome veröffentlicht, um zwei hochgefährliche Sicherheitslücken in der Media- und Tint-Engine zu stopfen. Schon wieder eine dieser nervigen Lücken, die Angreifer für Malware-Verbreitung und Remote-Code-Execution ausnutzen können. Zum Glück wurden die Schwachstellen noch nicht aktiv missbraucht, bevor der Patch kam. Sysadmins sollten Chrome schnell auf die neueste Version aktualisieren, um Ärger zu vermeiden.