Tech Blog

Eine schwerwiegende Sicherheitslücke wurde in Luanti-Versionen vor 5.15.2 entdeckt. Über manipulierte Module können Angreifer unbefugten Zugriff über die vorgesehene Lua-Sandbox hinaus erlangen, wenn LuaJIT verwendet wird. Anwender betroffener Versionen müssen dringend auf den neuesten Stand aktualisieren, um die mit dieser Schwachstelle verbundenen Risiken zu mindern.

Die Open-Source-Graphdatenbank Dgraph weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, sensible Administratorenrechte ohne Authentifizierung abzugreifen. Die Schwachstelle betrifft den "/debug/pprof/cmdline"-Endpunkt und wurde in Version 25.3.2 behoben. Mit den erbeuteten Zugangsdaten können Unbefugte administrative Funktionen missbrauchen und die Kontrolle über die Umgebung erlangen.

Eine Sicherheitslücke im ArgoCD Image Updater ermöglicht Angreifern mit Zugriff auf ImageUpdater-Ressourcen in einer Multi-Tenant-Umgebung, Namespace-Grenzen zu umgehen und unberechtigte Bildaktualisierungen auf Anwendungen anderer Mandanten durchzuführen. Dies gefährdet die Integrität der Anwendungen durch nicht autorisierte Änderungen und unterstreicht die Notwendigkeit verbesserter Sicherheitsmaßnahmen in Multi-Tenant-Umgebungen.

Eine kritische Sicherheitslücke im WordPress-Plugin "Barcode Scanner" ermöglicht es unauthentifizierten Angreifern, ihre Rechte auf Administratorebene zu erhöhen. Die Lücke betrifft alle Versionen bis einschließlich 1.11.0 und basiert auf einer fehlerhaften Token-Authentifizierung. Angreifer können so die Kontrolle über das System übernehmen. Betroffene Websites sollten dringend auf eine aktualisierte Version des Plugins umsteigen, um dieses Risiko zu bannen.

Eine kritische Sicherheitslücke (CVE-2026-20045) in Cisco's Identitätsservern (ISE) erlaubt Angreifern mit Administratorrechten den kompletten Systemzugriff. Dieses "9.9 RCE-Desaster" bedroht Unternehmensnetzwerke, die Cisco ISE einsetzen. Patches sind dringend erforderlich, um die Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-5491, CVE-2025-6558, CVE-2026-20045, CVE-2026-20184, CVE-2026-6296, CVE-2026-20103).

In gmc_ddr_handle_mba_mr_req von gmc_mba_ddr.c gibt es eine mögliche Privileg-Eskalation durch einen "confused deputy"-Fehler. Dies kann zu lokaler Privileg-Eskalation ohne zusätzliche Ausführungsberechtigungen führen. Für die Ausnutzung ist keine Benutzerinteraktion erforderlich.

Vor Version 9.5.2-alpha.9 und 8.6.22 konnte ein Angreifer mit einem gültigen OAuth2-Token eines anderen Nutzers als dieser Nutzer authentifiziert werden. Die Schwachstelle betrifft Parse Server-Installationen, die den generischen OAuth2-Authentifizierungsadapter ohne Angabe des useridField verwenden. Ein Patch behebt das Problem.

Eine schwerwiegende Sicherheitslücke in Modem-Firmware ermöglicht Angreifern die Ausführung von beliebigem Schadcode ohne zusätzliche Berechtigungen. Die Schwachstelle mit der CVE-ID CVE-2026-0114 resultiert aus einem fehlerhaften Grenzencheck, der ein "Out-of-Bounds Write" zulässt. Eine Interaktion des Nutzers ist für die Ausnutzung der Lücke nicht erforderlich, was die Gefährdung erhöht.

In der Linux-Kernel-Komponente mfc_dec_v4l2.c wurde eine schwerwiegende Sicherheitslücke entdeckt, die eine unautorisierte Rechteausweitung auf lokaler Ebene ermöglicht. Die Schwachstelle ist mit einem CVSS-Score von 8.4 als "hoch" eingestuft und erfordert keine Benutzerinteraktion für einen erfolgreichen Exploit. Administratoren sollten umgehend einen Patch oder Workaround implementieren, um ihre Systeme vor möglichen Angriffen zu schützen.

Eine Sicherheitslücke im PHP-Programm CloudMe ermöglicht es Angreifern, lokal Dateien einzubinden. Dies betrifft Versionen von CloudMe bis einschließlich 1.2.2. Die Schwachstelle hat einen hohen Schweregrad von 8.1 und sollte zeitnah behoben werden.