Tech Blog

Microsoft hat eine kritische Sicherheitslücke in seinem Microsoft Account-Dienst entdeckt. Durch eine Schwachstelle bei der Eingabevalidierung können Angreifer Cross-Site-Scripting-Attacken durchführen und so Nutzerinteraktionen manipulieren sowie möglicherweise sensible Informationen abfangen. Dieser Vorfall unterstreicht einmal mehr die Notwendigkeit strenger Sicherheitsmaßnahmen, um Nutzerinteraktionen zuverlässig abzusichern.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2025-56425 ermöglicht es authentifizierten Angreifern, über den /osrest/api/organization/sendmail-Endpunkt der enaio-Dokumentenmanagement-Software beliebige SMTP-Befehle einzuschleusen. Das betrifft Versionen 10.10.0.183 und früher, 11.0.0.183 und früher sowie 11.10.0.183 und früher. Admins sollten schnellstmöglich auf aktualisierte Versionen umstellen, um ihre Systeme vor Missbrauch zu schützen.

Eine Schwachstelle im Azure Resource Manager ermöglicht es autorisierten Angreifern, über ein Netzwerk ihre Rechte zu erhöhen. Die Lücke mit der Kennung CVE-2026-24304 wird als "kritisch" eingestuft und sollte zeitnah behoben werden.

Eine Schwachstelle im ALGO 8180 IP Audio Alerter ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Geräten auszuführen. Die Sicherheitslücke betrifft die InformaCast-Funktionalität und entsteht durch unzureichende Überprüfung von Benutzereingaben. Admins sollten dringend nach Updates Ausschau halten, um ihre Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke in den Enel X JuiceBox 40 Ladestationen ermöglicht es Angreifern, ohne Authentifizierung beliebigen Schadcode auszuführen. Die Schwachstelle betrifft den Telnet-Dienst, der standardmäßig auf Port 2000 lauscht. Angreifer aus dem Netzwerk können diese Lücke ausnutzen, um die Kontrolle über die betroffenen Geräte zu erlangen. Ein Patch ist dringend erforderlich, um diese Sicherheitslücke zu schließen.

Eine Schwachstelle in Epiphany, einem Tool zum Öffnen externer URL-Handler, ermöglicht es Angreifern, Sicherheitslücken in diesen Handlern auszunutzen und Code auf dem Clientgerät auszuführen. Der Browser versäumt es, den Nutzer ausreichend zu warnen oder zu schützen, was zu potenziell kritischen Folgen führen kann.

Eine Schwachstelle im Dell PowerScale OneFS vor Version 9.13.0.0 ermöglicht es unauthentifizierten Angreifern mit Fernzugriff, unbefugt auf das System zuzugreifen. Administratoren sollten umgehend auf die neueste Version aktualisieren, um diese kritische Sicherheitslücke mit CVSS-Score 8.1 zu schließen.

Eine kritische Sicherheitslücke in Hibernate, CVE-2026-0603, erlaubt es Angreifern mit geringen Rechten, durch manipulierte Eingaben in der ID-Spalte eine SQL-Injection-Schwachstelle auszunutzen. Dies kann zu Datenlecks, Manipulation oder Löschungen in der Datenbank und damit zu Denial-of-Service-Angriffen führen. Betroffene Anwender sollten schnellstmöglich einen Patch installieren, um die Schwachstelle zu schließen.

Dell ECS und ObjectScale enthalten eine Sicherheitslücke, die es einem Angreifer mit geringen Rechten ermöglicht, sich unberechtigten Zugriff zu verschaffen. Die Schwachstelle betrifft Versionen bis 3.8.1.7 bei ECS und Versionen vor 4.2.0.0 bei ObjectScale. Ein Patch ist erforderlich, um das Risiko zu minimieren.

Die von JNC entwickelten Systeme IAQS und I6 weisen eine kritische Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, administrative Funktionen direkt zu nutzen. Betroffen ist die Sicherheitslücke CVE-2026-1364 mit einem Schweregrad von 9.8. Admins sollten umgehend Patches oder Workarounds implementieren, um das System vor unbefugtem Zugriff zu schützen.