Tech Blog

Das WordPress-Plugin wpForo Forum ist bis einschließlich Version 2.4.13 von einer PHP-Objektinjektion-Schwachstelle betroffen. Authentifizierte Angreifer ab Subscriber-Zugriff können dadurch möglicherweise beliebigen PHP-Code ausführen, falls auf der Website ein weiteres Plugin oder Theme mit einer entsprechenden Exploit-Kette installiert ist. Eine Aktualisierung auf die neueste Version des Plugins wird dringend empfohlen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0910, CVE-2026-24789).

METIS DFS-Geräte (Versionen <= oscore 2.1.234-r18) weisen eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, ohne Authentifizierung Systemkommandos mit "Daemon"-Rechten auszuführen. Dies führt zur Kompromittierung der Software und gibt Zugriff auf sensible Konfigurationen, Daten und Dienste.

Eine kritische Sicherheitslücke (CVE-2025-8668) in der Turboard-Software ermöglicht Angreifern, Skripte auf betroffenen Webseiten einzuschleusen. Dies betrifft Versionen von 2025.07 bis 11022026. Der Hersteller wurde zwar informiert, reagierte jedoch nicht darauf. Administratoren sollten dringend ein Update auf eine nicht betroffene Version installieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-2248) in METIS WIC-Geräten mit Betriebssystemversionen bis 2.1.234-r18 ermöglicht es Angreifern, über eine Web-Konsole ohne Authentifizierung beliebige Systemkommandos mit Root-Rechten auszuführen. Dies führt zur vollständigen Kompromittierung der Geräte und erlaubt den unbefugten Zugriff, das Auslesen sensibler Daten sowie Manipulationen an der Systemkonfiguration.

Eine Sicherheitslücke im Wildfly Elytron-Integrations-Modul wurde entdeckt. Die Komponente implementiert keine ausreichenden Maßnahmen, um mehrere fehlgeschlagene Authentifizierungsversuche innerhalb kurzer Zeit zu verhindern, was Brute-Force-Attacken über die CLI erleichtert. Die Schwachstelle hat eine Bewertung von 8.1 auf der CVSS-Skala und sollte zeitnah behoben werden.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Logo j-Platform entdeckt. Angreifer können durch fehlerhafte Zugriffssteuerung sensible Informationen auslesen. Das Problem betrifft Versionen von 3.29.6.4 bis 13112025. Sicherheits-Updates sollten zeitnah eingespielt werden, um die Systeme vor Kompromittierung zu schützen.

In einem ZBT WE2001 Router mit der Firmware-Version 23.09.27 wurde eine Schwachstelle im "check_token"-Modul entdeckt. Angreifer können diese ausnutzen, um sich ohne gültige Zugangsdaten als Administrator zu authentifizieren und administrative Funktionen auszuführen. Ein Patch ist bislang nicht verfügbar, Anwender sollten den Router zeitnah aktualisieren, sobald ein Sicherheitsupdate bereitgestellt wird.

Sicherheitsforscher haben entdeckt, dass Angreifer eine Kette von Zero-Day- und bereits geschlossenen Schwachstellen in der SolarWinds-Web-Help-Desk-Anwendung (WHD) ausnutzen. Dazu gehören die kritischen Schwachstellen CVE-2025-40551 (Remote-Code-Ausführung) und CVE-2025-40536 (Authentifizierungs-Bypass). Betroffene Kunden müssen dringend auf die aktuelle Version 2026.1 des WHD-Produkts aktualisieren, um sich vor den Angriffen zu schützen.

Die EU-Kommission wurde Opfer eines Cyberangriffs, bei dem Angreifer über eine Schwachstelle in Ivanti's Endpoint Manager Mobile (EPMM) Zugriff auf Mitarbeiterdaten erlangten. Die CVE-2026-1340-Lücke ermöglicht es Angreifern, ihre Schadsoftware ohne Authentifizierung einzuschleusen. Die Kommission konnte den Vorfall schnell eindämmen, doch scheint Deutschland am stärksten von den Angriffen betroffen zu sein.

Eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle wurde in der Okulistik-Software von Teknolist Computer Systems entdeckt. Angreifer können damit unbefugt auf interne Ressourcen und Dienste zugreifen, was zu Datenlecks oder unautorisiertem Zugriff führen kann. Eine zeitnahe Behebung der Lücke ist dringend erforderlich, um die betroffenen Systeme vor Missbrauch zu schützen.