Tech Blog

Eine Sicherheitslücke im JUNG Smart Visu Server 1.1.1050 ermöglicht es unauthentifizierten Angreifern, durch Manipulation des X-Forwarded-Host-Headers die Zugriffskontrollen zu umgehen. Dadurch können sie fehlerhafte Antworten erzeugen, Phishing-Angriffe durchführen und Nutzer auf bösartige Domains weiterleiten. Die Schwachstelle mit der CVE-ID CVE-2026-26234 wird als "Hoch" eingestuft.

Eine Sicherheitslücke in TP-Link Archer c20 Routern mit Firmware-Version V6.6_230412 oder älter ermöglicht es Angreifern, die Authentifizierung umzugehen und auf sensible Schnittstellen zuzugreifen. Obwohl der Hersteller dies bestreitet, kann durch Hinzufügen eines speziellen HTTP-Headers der Authentifizierungsschutz umgangen werden. Betroffene Router sollten umgehend auf die neueste Firmware-Version aktualisiert werden.

In der Chevereto-Software Version 3.13.4 wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, durch Manipulation des Datenbankpräfixes beliebigen Code auf dem System auszuführen. Betreiber sollten umgehend auf eine aktuellere Version updaten, um ihre Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle im MSHTML-Framework von Microsoft ermöglicht es Angreifern, über ein Netzwerk eine Sicherheitsmaßnahme zu umgehen. Mit einem Schweregrad von 8.8 ist dies als hochkritisch einzustufen. Sysadmins sollten umgehend Patches von Microsoft installieren, um ihre Systeme vor unbefugtem Zugriff zu schützen.

Eine kritische Sicherheitslücke im Farktor E-Commerce Paket ermöglicht Cross-Site-Scripting-Angriffe (XSS). Die Schwachstelle betrifft alle Versionen bis zum 27.11.2025 und kann von Angreifern ausgenutzt werden, um bösartigen Code auf betroffenen Websites auszuführen. Administratoren sollten das E-Commerce Paket umgehend auf die neueste Version aktualisieren, um diese Schwachstelle zu schließen.

In der PostgreSQL-Erweiterung "intarray" existiert eine Schwachstelle, die es Angreifern ermöglicht, willkürlichen Code als Betriebssystemnutzer auszuführen. Betroffen sind PostgreSQL-Versionen vor 18.2, 17.8, 16.12, 15.16 und 14.21. Ein Patch ist erforderlich, um die Lücke zu schließen.

Eine schwerwiegende Schwachstelle im PostgreSQL-Krypto-Modul "pgcrypto" ermöglicht Angreifern die Ausführung von beliebigem Code auf dem Betriebssystem des Datenbankservers. Betroffen sind PostgreSQL-Versionen vor 18.2, 17.8, 16.12, 15.16 und 14.21. Zeit, die Patches zu installieren, bevor die Hacker zuschlagen.

Das WordPress-Plugin "Prime Listing Manager" bis Version 1.1 erlaubt Angreifern den Zugriff auf Administratorrechte ohne Authentifizierung. Eine gehärtete Geheimzahl ermöglicht es Unbefugten, beliebige Aktionen auf der betroffenen Website auszuführen. Betreiber sollten das Plugin umgehend aktualisieren, um Schäden durch Kompromittierung zu verhindern.

Eine schwerwiegende Sicherheitslücke in der Windows Notepad App ermöglicht es Angreifern, über ein Netzwerk beliebigen Code auszuführen. Die Schwachstelle betrifft die unsachgemäße Neutralisierung von Sonderzeichen in Befehlen, was eine Befehlseinschleusung erlaubt. Sysadmins sollten dringend ein Sicherheitsupdate für Notepad installieren, sobald dieses verfügbar ist.

Eine Schwachstelle in der Zertifikatsvalidierung von Azure Local ermöglicht es Angreifern, ohne Autorisierung Schadcode über ein Netzwerk auszuführen. Betroffen sind Azure-Umgebungen, die diese Komponente verwenden. Admins sollten umgehend nach einem Patch suchen und die Systeme bis dahin isolieren.