Tech Blog

Eine kritische Use-After-Free-Schwachstelle in Firefoxs IndexedDB-Komponente ermöglicht Angreifern potenziell die Ausführung von beliebigem Code. Betroffen sind Firefox-Versionen unter 148, Firefox ESR unter 115.33 und Firefox ESR unter 140.8. Nutzer sollten schnellstmöglich auf eine aktualisierte Version wechseln, um sich vor dieser Sicherheitslücke zu schützen.

Die Firmware-Version V300SP10260209 und früher des Binardat 10G08-0800GSM-Netzwerkswitches weist eine Sicherheitslücke auf, die Administratorpasswörter im Klartext in der Web-Oberfläche und in HTTP-Antworten preisgibt. Angreifer können so gültige Anmeldedaten auslesen und das System kompromittieren. Ein Patch ist erforderlich, um dieses Problem zu beheben.

In älteren Firmware-Versionen von Binardat 10G08-0800GSM-Netzwerkswitches werden vorhersagbare Session-IDs im Web-Management-Interface generiert. Angreifer können gültige Session-IDs erraten und so authentifizierte Sitzungen übernehmen. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke (CVE-2026-27515) zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-27515, CVE-2026-23678).

Binardat-Netzwerkswitches der Version V300SP10260209 und älter enthalten fest einprogrammierte Admin-Zugangsdaten, die von Nutzern nicht geändert werden können. Kenntnis dieser Zugangsdaten ermöglicht volle administrative Kontrolle über die Geräte. Eine Aktualisierung der Firmware ist dringend empfohlen, um diese kritische Sicherheitslücke mit der CVE-ID CVE-2026-27507 zu schließen.

Eine kritische Sicherheitslücke in der Apache Camel Keycloak-Komponente ermöglicht es, JWT-Token aus einem Keycloak-Realm in einem anderen Realm zu verwenden. Dadurch können Benutzer unbefugten Zugriff über isolierte Mandanten hinweg erlangen. Betroffen sind die Versionen 4.15.0 bis 4.17.0 - Nutzer sollten umgehend auf Version 4.18.0 aktualisieren, um das Problem zu beheben.

Zwei kritische Zero-Day-Lücken in Ivantis Endpoint Manager Mobile (EPMM) werden derzeit aktiv ausgenutzt, um die mobile Gerätemanagement-Infrastruktur von Unternehmen zu übernehmen und Backdoors zu installieren. Die Schwachstellen mit CVSS-Scores von 9,8 erlauben es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Ivanti empfiehlt Sicherheitsupdates, warnt aber, dass diese nicht dauerhaft sind und bei Versionsupgrades neu installiert werden müssen.

Mal wieder eine Sicherheitslücke im Windows Notepad, dieses Mal die kritische Schwachstelle CVE-2026-20841, die Systeme für Fernsteuerungsangriffe anfällig macht. Und jetzt soll der Texteditor auch noch Grafiken einbinden können - das wird sicher nichts Gutes bedeuten. Sysadmins können sich auf weitere Kopfschmerzen einstellen, während Microsoft mal wieder versucht, das Kind mit dem Bade auszuschütten.

Eine hochgefährliche Schwachstelle mit CVSS-Bewertung 9.6 wurde in der HPE Telco Service Activator-Software entdeckt. Angreifer können damit beliebige Dateien auf betroffenen Systemen schreiben und sogar Schadcode ausführen. Ein Patch ist dringend erforderlich, um die Systeme vor Missbrauch zu schützen.

Eine kritische SQL-Injection-Schwachstelle im /api/integrations/getintegrations-Endpunkt des Order Up Online Ordering System 1.0 erlaubt es einem unauthentifizierten Angreifer, über einen präparierten store_id-Parameter in einer POST-Anfrage sensible Backend-Datenbankinhalte auszulesen. Das klingt nach einem klassischen Fall von "Ach du Schande, schon wieder?!".

In D-Link DWR-M960 Routern mit Firmware 1.01.07 wurde eine kritische Sicherheitslücke mit der CVE-2026-2962 entdeckt. Durch Manipulation des "submit-url"-Parameters kann ein stapelbasierter Pufferüberlauf ausgelöst werden, der von Angreifern aus der Ferne ausgenutzt werden kann. Ein öffentlicher Exploit ist bereits verfügbar, sodass schnelles Handeln erforderlich ist, um betroffene Systeme zu patchen.