Tech Blog

Bekannt geworden sind Schwachstellen im Ivanti Mobile Device Management (EPMM), die offenbar zu Angriffen auf die EU-Kommission und die niederländische Datenschutzbehörde geführt haben. Die Schwachstelle mit der CVE-ID CVE-2026-1281 ermöglicht offenbar Schadcode-Ausführung. Betroffene Unternehmen und Behörden sollten dringend Patches installieren, sobald diese verfügbar sind.

Microsoft hat sechs neue und aktiv ausgenutzte Sicherheitslücken unter den 60 behobenen Schwachstellen im Februar-Patch-Dienstag veröffentlicht. Drei davon ermöglichen das Umgehen von Sicherheitsmaßnahmen, zwei weitere erlauben die Erhöhung von Berechtigungen. Die Schwachstellen betreffen Windows, Office und Azure und sollten dringend geschlossen werden, da Angreifer sie bereits ausnutzen.

Eine kritische Sicherheitslücke in der SandboxJS-Bibliothek (CVE-2026-25881) erlaubt es Angreifern, aus der Sandbox auszubrechen und die Kontrolle über den Host-Rechner zu übernehmen. Das ist mal wieder ein klassischer Fall von "Wer hat denn da wieder Bugs in den Code gebaut?". Hoffentlich gibt's bald einen Patch, bevor die Malware-Bastler das ausnutzen können.

Eine kritische Sicherheitslücke in der Apache HertzBeat-Komponente ermöglicht Angreifern, Ressourcen auf den betroffenen Systemen zu erschöpfen. Durch diese Schwachstelle (CVE-2026-24343) können Hacker die Verfügbarkeit von Diensten beeinträchtigen. Administratoren sollten umgehend ein Update auf eine patched Version von Apache HertzBeat einspielen, um ihre Systeme vor dem Ausnutzen dieser Lücke zu schützen.

Das WordPress-Plugin "WPvivid Backup & Migration" bis einschließlich Version 0.9.123 weist eine kritische Sicherheitslücke (CVE-2026-1357) auf. Durch fehlerhafte Fehlerbehandlung und mangelnde Pfadbereinigung können Angreifer ohne Authentifizierung beliebige PHP-Dateien hochladen und so Remotecode-Ausführung erlangen. Betreiber sollten das Plugin umgehend aktualisieren, um sich vor diesem Angriff zu schützen.

Eine kritische Sicherheitslücke in der Webapp "TemizlikYolda" der Firma Saastech Cleaning and Internet Services Inc. ermöglicht Cross-Site-Scripting (XSS)-Angriffe. Angreifer können so böswilligen Code in die Web-Anwendung einschleusen. Der Hersteller hat auf die Offenlegung der Schwachstelle nicht reagiert. Administratoren sollten das System umgehend aktualisieren, sobald ein Patch verfügbar ist.

Eine kritische Sicherheitslücke in Dify v1.9.1 ermöglicht es Angreifern, über den Endpunkt /console/api/setup authentifizierte Anfragen von beliebigen externen Domains zu stellen. Die mangelhafte CORS-Konfiguration reflektiert den Origin-Header und setzt Access-Control-Allow-Credentials: true, was unberechtigten Zugriff auf geschützte Ressourcen erlaubt. Der Hersteller bestreitet den Sicherheitsmangel, da die Endpunkt-Konfiguration angeblich absichtlich so gestaltet ist.

Eine kritische Sicherheitslücke in der Firmensoftware DIGIKENT von Vadi Corporate Information Systems Ltd. Co. ermöglicht Unbefugten den Zugriff auf sensible Systemdaten. Die Schwachstelle mit der CVE-ID CVE-2025-9986 hat eine Bewertung von 8.2 "Hoch" und betrifft alle Versionen der Software bis 13092025. Admins sollten umgehend einen Patch einspielen, um die Systeme vor Kompromittierung zu schützen.

Eine schwerwiegende Authentifizierungslücke in Dinosoft ERP ermöglicht es Angreifern, auf kritische Funktionen zuzugreifen, ohne sich zu authentifizieren. Die Schwachstelle betrifft Versionen von Dinosoft ERP vor 3.0.1 bis hin zu 11022026. Der Hersteller wurde über die Lücke informiert, hat aber nicht reagiert.

Eine Schwachstelle mit CVE-2025-21427 ermöglicht das Auslesen sensibler Informationen, wenn ein Mobilgerät (UE) RTP-Pakete aus dem Netzwerk empfängt. Entwickler müssen dringend einen Patch installieren, um das Risiko von Datenlecks zu minimieren.