Tech Blog

Eine kritische, unberechtigte SQL-Injection-Schwachstelle in der Build Smart ERP-Version 21.0817 ermöglicht es Angreifern, schadhafte SQL-Abfragen auszuführen und potenziell auf sensible Datenquellen zuzugreifen. Organisationen, die diese ERP-Software einsetzen, müssen umgehend Sicherheitsmaßnahmen ergreifen, um eine Ausnutzung der Lücke (CVE-2021-47777) zu verhindern.

Der Cmder Console Emulator Version 1.3.18 ist anfällig für eine Pufferüberlauf-Schwachstelle, die Angreifer ausnutzen können, um einen Denial-of-Service-Zustand zu verursachen. Durch eine manipulierte .cmd-Datei mit einer Zeichenfolge, die den Puffer des Konsolenemu-lators übersteigt, kann die Software abstürzen und den Dienst unterbrechen. Dies könnte weitere Ausnutzung ermöglichen.

Eine kritische Sicherheitslücke in der Projektmanagement-Software ProjeQtOr ermöglicht es unauthentifizierten Angreifern, willkürlichen PHP-Code auszuführen. Die Schwachstelle befindet sich im Profil-Attachment-Bereich, wo Angreifer schädliche PHP-Skripte hochladen können. Durch Manipulation bestimmter Anfrageparameter können Angreifer dann die hochgeladenen Dateien ausführen und so die Sicherheit des Systems kompromittieren.

Die NOAA PMEL Live Access Server (LAS) Software weist eine kritische Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, über speziell präparierte Anfragen beliebige Befehle auf dem Server auszuführen. Die Schwachstelle betrifft den SPAWN-Befehl und kann zu einer Ausführung von Schadcode führen. Eine Behebung der Lücke ist dringend erforderlich.

Eine kritische Schwachstelle im WordPress-Plugin "Supreme Modules Lite" ermöglicht es Angreifern mit Autor-Rechten, beliebige Dateien auf dem Server hochzuladen und so potenziell Schadcode auszuführen. Die Lücke betrifft alle Versionen bis einschließlich 2.5.62 und muss dringend durch ein Update geschlossen werden, um Kompromittierungen zu verhindern.

Im WordPress Plugin "Bulk Page Generator" wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-22522 entdeckt. Angreifer können damit ohne Authentifizierung beliebige Inhalte auf der Website einfügen. Ein Patch ist verfügbar, Webseitenbetreiber sollten das Plugin umgehend aktualisieren.

Forscher haben eine kritische Befehlsinjektions-Schwachstelle in Fortinet FortiSIEM aufgedeckt, die Angreifern seit fast drei Jahren unauthentifizierten Root-Zugriff auf die SIEM-Plattform ermöglicht haben könnte. Die Schwachstelle betrifft den phMonitor-Dienst und kann durch öffentlich verfügbaren Exploit-Code ausgenutzt werden. Fortinet hat Patches veröffentlicht, Anwender sollten diese umgehend installieren und den Zugriff auf Port 7900 einschränken.

Eine schwerwiegende Sicherheitslücke (CVE-2026-23550, CVSS 10) in Modular DS wird aktuell ausgenutzt. Die Schwachstelle erlaubt Angreifern die sofortige Übernahme von Administratorrechten. Betroffene Systeme müssen dringend gepatcht werden, um Kompromittierung zu verhindern.

Palo Alto Networks hat Sicherheitsupdates für eine schwerwiegende Sicherheitslücke in GlobalProtect Gateway und Portal veröffentlicht. Die Schwachstelle CVE-2026-0227 (CVSS 7.7) ermöglicht Denial-of-Service-Attacken ohne Authentifizierung, die Firewalls zum Absturz bringen können. Ein Proof-of-Concept-Exploit ist bereits bekannt. Admins sollten die Aktualisierungen zeitnah einspielen, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Schwachstelle in der Windows-Anwendung SumatraPDF (Versionen bis 3.5.2) ermöglicht es Angreifern, durch Platzieren einer bösartigen Datei im Programmverzeichnis beliebigen Code auszuführen. Der Fehler tritt auf, wenn Benutzer die "Erweiterte Optionen" aufrufen, da die Anwendung dann notepad.exe ohne vollständigen Pfad startet. Anwender sollten umgehend auf eine neuere, sicherere Version von SumatraPDF aktualisieren, um dieses Risiko zu bannen.