Tech Blog

Eine Sicherheitslücke in SAP NetWeaver Application Server ABAP und ABAP Platform ermöglicht es einem authentifizierten Nutzer mit geringen Rechten, unter bestimmten Umständen Hintergrund-Remotefunktionsaufrufe ohne die nötige S_RFC-Berechtigung durchzuführen. Dies kann die Integrität und Verfügbarkeit der betroffenen Systeme beeinträchtigen, während die Vertraulichkeit der Anwendung unberührt bleibt. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0488, CVE-2026-0509, CVE-2026-21510, CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21522, CVE-2026-21525, CVE-2026-21533, CVE-2026-21655, CVE-2026-23687, CVE-2026-0509).

Fortinet hat Sicherheitsupdates veröffentlicht, um eine kritische Sicherheitslücke in FortiClientEMS zu beheben. Die Schwachstelle mit der CVE-ID CVE-2026-21643 ermöglicht Angreifern die Ausführung beliebigen Codes auf anfälligen Systemen ohne Authentifizierung. Betroffen ist die Software mit einem CVSS-Wert von 9,1 von 10 Punkten. Nutzer sollten umgehend die bereitgestellten Patches installieren, um ihre Systeme vor Missbrauch zu schützen.

Eine schwerwiegende Sicherheitslücke mit der Kennung CVE-2026-25592 wurde im Kernel-Code entdeckt. Sie ermöglicht es Angreifern, Dateien auf dem System zu überschreiben. Die Schwachstelle hat den maximal möglichen CVSS-Schweregrad von 10.0 und sollte daher dringend behoben werden. Bis ein Patch verfügbar ist, empfehlen Sicherheitsexperten, das System vor unbefugtem Zugriff zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-25592, CVE-2025-68723, CVE-2026-2234).

Eine kritische SQL-Injection-Schwachstelle (CVSS 9.8) in Payload CMS ermöglicht es Angreifern, Administratortoken abzugreifen. Das erlaubt den vollen Zugriff auf das Content-Management-System und die Übernahme der Kontrolle. Betreiber sollten dringend ein Sicherheitsupdate einspielen, um ihre Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke in Keycloak erlaubt es Angreifern, sich durch Manipulation des Einladungs-Tokens unberechtigt in einer fremden Organisation anzumelden. Ohne Überprüfung der Signatur des JSON Web Tokens können Angreifer ihre Identität fälschen und so unkontrollierten Zugriff erlangen.

In JetBrains Hub vor Version 2025.3.119807 gab es eine kritische Sicherheitslücke, die es Angreifern ermöglichte, sich als Administratoren auszugeben und administrative Aktionen durchzuführen. Dieses Authentifizierungs-Bypass-Problem hat den Schweregrad 9.1 und sollte schnell behoben werden, um Systeme vor Missbrauch zu schützen.

Die Agentflow-Software des Herstellers Flowring weist eine kritische Schwachstelle auf, die es Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Durch eine fehlerhafte Dateiupload-Funktion können Hacker Webshell-Backdoors hochladen und damit die volle Kontrolle über das System erlangen. Betroffene Administratoren sollten dringend einen Patch vom Hersteller installieren, um die Sicherheitslücke zu schließen.

Eine schwerwiegende Sicherheitslücke in Apache Druid ermöglicht es Angreifern, sich ohne gültige Zugangsdaten Zugriff auf das System zu verschaffen. Das Problem tritt auf, wenn der integrierte LDAP-Authenticator verwendet und der LDAP-Server anonyme Verbindungen zulässt. Angreifer können dann einfach einen existierenden Nutzernamen mit leerem Passwort eingeben, um sich zu authentifizieren. Dies kann zu einem Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit der Druid-Umgebung führen.

Eine hochgefährliche SQL-Injection-Schwachstelle wurde in der Online-Reviewer-Software von Code-Projects identifiziert. Durch manipulierte Eingaben in der Datei /system/system/admins/assessments/pretest/btn_functions.php kann Remote-Code-Execution ausgeführt werden. Der Exploit ist öffentlich verfügbar und könnte jederzeit missbraucht werden. Admins sollten dringend ein Software-Update einspielen, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke im E-Taxpayer Accounting Website ermöglicht Angreifern die Ausführung von bösartigem JavaScript (Reflected XSS). Die Schwachstelle betrifft die Webapp bis einschließlich Version 07082025 und weist einen Schweregrad von 8.6 (Hoch) auf. Admins sollten umgehend ein Update einspielen, um ihre Systeme vor Angriffen zu schützen.