Tech Blog

Eine kritische Schwachstelle im Dokumenten-Management-System von ENOVIA Collaborative Industry Innovator ermöglicht Angreifern die Ausführung beliebiger Skripte im Browser des Nutzers. Betroffen sind die Versionen R2023x bis R2025x. Ein Patch ist erforderlich, um diese Stored Cross-Site-Scripting-Lücke (CVE-2025-10551, CVSS 8.7) zu schließen.

Eine kritische Schwachstelle in Samsung-Mobilprozessoren, Wearable-Prozessoren und Modems der Exynos-Serie ermöglicht eine Out-of-Bounds-Schreibattacke. Die Lücke tritt beim Verarbeiten von SMS-Nachrichten auf und kann von Angreifern ausgenutzt werden. Betroffene Nutzer sollten dringend Sicherheitsupdates installieren, sobald diese von Samsung bereitgestellt werden.

In einem Totolink-Router wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-6140 entdeckt. Durch Manipulation des Dateinamens-Arguments in der Firmware-Update-Funktion kann Remote Code Execution ausgeführt werden. Der Exploit ist bereits öffentlich bekannt und könnte von Angreifern missbraucht werden. Betroffene Nutzer sollten dringend ein Firmware-Update einspielen, sobald es verfügbar ist.

In den Versionen 149.0.1 von Firefox und Thunderbird wurden Speichersicherheitslücken entdeckt. Diese Schwachstellen mit der CVE-ID CVE-2026-5735 könnten bei entsprechendem Aufwand zur Ausführung von Schadcode missbraucht werden. Die Lücken wurden in den Versionen 149.0.2 behoben. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-5735, CVE-2026-5732, CVE-2026-5731).

Mehrere Speicherfehler in den aktuellen Versionen von Firefox und Thunderbird führen zu Speicherkorrumpierung und ermöglichen möglicherweise die Ausführung von Schadcode. Die Lücke mit der CVE-ID CVE-2026-5734 wurde als "Hoch" eingestuft und in den Versionen 149.0.2 und 140.9.1 behoben.

In den Firefox- und Thunderbird-Versionen 149.0.2 wurde eine kritische Sicherheitslücke mit CVE-2026-5733 behoben. Die Schwachstelle betraf die Grafikkomponente WebGPU und ermöglichte unter bestimmten Umständen potenziell die Ausführung von Schadcode. Nutzer sollten umgehend auf die aktuellen Versionen 149.0.2 oder höher aktualisieren, um sich vor dieser Sicherheitslücke mit hoher Risikoeinschätzung (8.8) zu schützen.

In der ANGLE-Komponente von Google Chrome auf macOS wurde eine Sicherheitslücke mit hohem Schweregrad (8.8) entdeckt. Angreifer können über eine präparierte HTML-Seite beliebigen Code in der Sandbox-Umgebung des Browsers ausführen. Google hat das Problem in Version 147.0.7727.55 behoben, Anwender sollten daher zeitnah auf den aktuellen Stand updaten.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-4277 wurde in Django-Versionen vor 6.0.4, 5.2.13 und 4.2.30 entdeckt. Angreifer können durch fehlerhafte Berechtigungsprüfungen in der GenericInlineModelAdmin-Komponente ihre Rechte ausweiten. Betroffen sind auch ältere, nicht mehr unterstützte Django-Versionen wie 5.0.x, 4.1.x und 3.2.x. Die Entwickler danken N05ec@LZU-DSLab für die Meldung des Problems.

In der Rukovoditel CRM-Software bis Version 3.6.4 existiert eine kritische Sicherheitslücke durch eine Schwachstelle in der Zadarma-Telefonie-API. Angreifer können über den 'zd_echo'-Parameter manipulierte JavaScript-Inhalte einschleusen, was zu Sessionentführung, Zugangsdatendiebstahl und Kontrollübernahme führen kann. Ab Version 3.7 ist die Lücke durch verbesserte Eingabevalidierung und Ausgabekodierung behoben.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Firmware des Totolink A7100RU Routers entdeckt. Angreifer können durch Manipulation des "proto"-Parameters der CGI-Schnittstelle beliebigen Schadcode ausführen. Da der Exploit öffentlich ist, sollten Administratoren umgehend ein Firmware-Update einspielen, um ihre Systeme vor Angriffen zu schützen.