Tech Blog

In Lunary AI Version 1.2.2 wurde eine schwerwiegende Sicherheitslücke entdeckt, die es Nutzern mit "Viewer"-Rolle ermöglicht, Konten anderer Nutzer zu übernehmen. Die Schwachstelle tritt auf, wenn ein Nutzer mit geringeren Rechten eine spezielle Anfrage sendet, die den Server dazu bringt, ein Passwort-Reset-Token preiszugeben. Mit diesem Token kann ein böswilliger "Viewer" dann das Passwort eines anderen Kontos zurücksetzen und es komplett übernehmen. Diese massive Angriffsfläche stellt ein erhebliches Risiko dar und ermöglicht Eskalation von Privilegien und unbefugten Zugriff auf Konten.

In der Parisneo/lollms-webui-Anwendung wurde eine kritische Local File Inclusion-Schwachstelle (CVE-2024-2356) entdeckt. Durch Manipulation des "name"-Parameters kann ein Angreifer beliebige Python-Dateien aus dem Uploadverzeichnis ausführen und so potentiell Schadcode einschleusen. Das ist besonders heikel, da die Anwendung im Headless-Modus oder auf 0.0.0.0 läuft. Anwender sollten die Sicherheit ihrer Instanz dringend überprüfen und zeitnah Gegenmaßnahmen ergreifen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2024-2356, CVE-2025-9974, CVE-2024-2356).

Eine Schwachstelle in H2O.ai's H2O-3 Version 3.46.0.1 ermöglicht Remote-Angreifern das Ausführen von beliebigem Code. Über den '/3/Parse'-Endpunkt können Schurken Dateien auf dem Server überschreiben, was zu Fernsteuerung und unberechtigtem Zugriff auf sensible Systemdateien wie SSH-Schlüssel und Skripte führen kann. Mal wieder ein Totalausfall der Sicherheitsabteilung.

Die einfache Content-Management-Software "Simple CMS 2.1" ist von einer kritischen SQL-Injektionslücke betroffen. Angreifer mit Admin-Rechten können damit beliebige SQL-Befehle ausführen und so auf die Datenbank zugreifen. Das birgt die Gefahr von Datenverlust oder -manipulation. Ein Patch ist verfügbar, Admins sollten das System umgehend aktualisieren.

Offenlegung von Sicherheitslücken soll eigentlich zu zeitnaher Behebung und professionellem Umgang führen. Doch immer öfter müssen Forscher monatelang auf eine Reaktion warten, während Kunden weiterhin gefährdet sind. Frustriert eskalieren einige Forscher dann öffentlich oder greifen sogar zu fragwürdigen Mitteln, was Unternehmen wiederum als Erpressung einstufen. Dieser Teufelskreis schadet der IT-Sicherheit. Praktische Gegenmaßnahmen wie transparente Kommunikation und Finanzierung von Open-Source-Projekten könnten hier Abhilfe schaffen.

Eine kritische Sicherheitslücke in OpenClaw-Produkten vor Version 2026.1.29 ermöglicht es, eine sensible Token-Kennung ohne Nutzerinteraktion über eine WebSocket-Verbindung abzugreifen. Dies kann zu unbefugtem Zugriff und Datenverlust führen. Anwender sollten das System umgehend auf die neueste Version aktualisieren.

Eine Sicherheitslücke in foreman_kubevirt ermöglicht es Angreifern, durch Deaktivierung der SSL-Überprüfung bei der Konfiguration der OpenShift-Verbindung, Man-in-the-Middle-Attacken durchzuführen. Dadurch können sensible Informationen abgehört oder manipuliert werden. Betroffen sind Systeme, die foreman_kubevirt ohne explizite Konfiguration eines Certificate Authority-Zertifikats einsetzen.

Eine Sicherheitslücke in der Kubernetes-Management-Lösung fog-kubevirt ermöglicht es Angreifern, via Man-in-the-Middle-Attacken sensible Kommunikation zwischen Satellite und OpenShift abzuhören und zu manipulieren. Die Schwachstelle mit der CVE-ID CVE-2026-1530 hat eine Bewertung von 8.1 (Hoch) und kann zu Datenverlust und Integritätsverlusten führen. Admins müssen dringend einen Patch einspielen, um ihre Kubernetes-Umgebungen vor diesem Angriff zu schützen.

Das WordPress-Plugin "User Profile Builder" vor Version 3.15.2 weist eine gravierende Sicherheitslücke auf. Unauthentifizierte Angreifer können mit wenigen Anfragen das Passwort beliebiger Nutzer, inklusive des Administrators, zurücksetzen und so Zugriff auf deren Konten erlangen. Administratoren sollten das Plugin umgehend auf die neueste Version aktualisieren, um diese kritische Schwachstelle zu schließen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-25202 erlaubt es Angreifern, sich mit einem fest eingebauten Datenbank-Zugang in MagicINFO 9 Server einzuloggen und die Datenbank zu manipulieren. Betroffen sind alle Versionen vor 21.1090.1. Administratoren sollten dringend auf die neueste Version aktualisieren, um dieses 9.8-Leck zu schließen.