Tech Blog

Die Anwendung "HeyGarson" von Codriapp Innovation and Software Technologies Inc. weist eine Schwachstelle auf, die Fehlermeldungen mit sensiblen Informationen generiert. Angreifer könnten dies ausnutzen, um Fuzzing-Attacken zur Erkundung der Anwendung durchzuführen. Trotz früher Kommunikation zu dieser Schwachstelle hat der Hersteller bislang keine Gegenmaßnahmen bereitgestellt.

SmarterTools hat zwei Sicherheitslücken in der E-Mail-Software SmarterMail behoben, darunter eine kritische Sicherheitslücke, die zu willkürlicher Codeausführung führen könnte. Die Schwachstelle CVE-2026-24423 hat einen CVSS-Score von 9,3 von 10. Betroffen sind SmarterMail-Versionen vor Build 9511. Ein Patch ist verfügbar.

Ivanti hat Sicherheitsupdates veröffentlicht, um zwei kritische Sicherheitslücken in Ivanti Endpoint Manager Mobile (EPMM) zu beheben, die in Nulltag-Angriffen ausgenutzt werden. Eine der Lücken (CVE-2026-1281) wurde vom US-Bundesamt CISA in die Liste bekannter ausgenützter Schwachstellen aufgenommen. Admins sollten die Updates schnell einspielen, um sich vor Remote-Code-Execution zu schützen.

Eine Sicherheitslücke in der Kubernetes-Lösung vCluster von Loft ermöglicht es, den Geltungsbereich von Zugriffsschlüsseln zu umgehen. Dadurch können Angreifer auf Ressourcen zugreifen, die eigentlich außerhalb der Berechtigungen liegen. Zwar können Nutzer keine Daten außerhalb der Zugriffsrechte einsehen, doch das Risiko ist erheblich. Loft empfiehlt dringend ein Update auf die Versionen 4.6.0, 4.5.4, 4.4.2 oder 4.3.10.

Eine kritische Pufferüberlauf-Schwachstelle im Tenda AC21 Router ermöglicht es Angreifern, möglicherweise Schadcode remote auszuführen. Die Schwachstelle betrifft die Funktion "fromAdvSetMacMtuWan" und ist bereits öffentlich bekannt. Betroffene Nutzer sollten dringend ein Firmware-Update installieren, um ihre Router vor Missbrauch zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-1637, CVE-2022-50921).

Eine Schwachstelle in der Funktion "execute_command" der Version 0.1.7 des Terminal-Controller-MCP ermöglicht Angreifern die Ausführung beliebiger Befehle. Dieses kritische Kommandoinjektions-Problem muss dringend behoben werden, um Systeme vor Kompromittierung zu schützen. Bis ein Patch verfügbar ist, empfiehlt sich die Deaktivierung oder Isolierung der betroffenen Komponente.

Eine Sicherheitslücke in der Unifi Protect Anwendung (Version 6.1.79 und früher) erlaubt Angreifern mit Zugang zum Netzwerk, unbefugt auf Unifi Protect Kameras zuzugreifen. Ein Update auf Version 6.2.72 oder höher behebt dieses Hochrisiko-Problem.

Eine kritische Sicherheitslücke in den Vega-Versionen 6.1.1 und 5.6.2 ermöglicht Angreifern die Ausführung von beliebigem JavaScript-Code, wenn Entwickler die Bibliothek unsachgemäß einbinden. Das betrifft insbesondere Anwendungen, die Vega-Definitionen von Nutzern zulassen. Patche sind in Version 6.1.2 und 5.6.3 verfügbar, Entwickler sollten zudem Vega-Instanzen nicht global verfügbar machen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2025-15385 ermöglicht Angreifern, die Authentifizierung in der TECNO Mobile App "com.Afmobi.Boomplayer" zu umgehen. Betroffen ist die Version 7.4.63 der App. Nutzer sollten umgehend ein Update installieren, um sich vor dieser Schwachstelle zu schützen.

Eine kritische SQL-Injection-Schwachstelle in der SUNNET Corporate Training Management System-Software vor Version 10.11 ermöglicht es Angreifern, beliebige SQL-Befehle auszuführen. Betroffen sind Systeme, die diese Unternehmenssoftware einsetzen. Ein Patch ist erforderlich, um das Risiko zu bannen.