Tech Blog

Eine kritische Sicherheitslücke (CVE-2026-40158) in der Python-Sandbox von PraisonAI ermöglicht vor Version 4.5.128 die Umgehung von Sicherheitsrestriktionen und die Ausführung beliebigen Codes. Dabei werden Schwachstellen in der AST-basierten Filterung ausgenutzt, die dynamische Attributzugriffe nicht korrekt berücksichtigt. Ein Patch ist in Version 4.5.128 verfügbar, Anwender sollten zeitnah aktualisieren.

Eine Sicherheitslücke in Apache Airflow ermöglicht es Angreifern, JWT-Token wiederzuverwenden, da beim Logout keine Token-Invalidierung erfolgt. Wer einen gültigen Token abfängt, kann so unbefugt auf sensible Daten und Nutzerkonten zugreifen. Das Problem wurde in Version 3.2.0 behoben, die nun wichtige Token-Invalidierungs-Protokolle für die Logout-Szenarien implementiert.

Eine kritische Sicherheitslücke (CVE-2026-35616) in Fortinet FortiClient EMS ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen auszuführen. Das betrifft alle Versionen vor 7.4.7. Admins sollten umgehend auf die neueste Version aktualisieren, um ihre Systeme vor dieser Schwachstelle zu schützen.

Eine kritische Sicherheitslücke in einer weit verbreiteten JavaScript-Bibliothek gefährdet die Sicherheit von Millionen von Websites weltweit. Die Schwachstelle ermöglicht es Angreifern, willkürlichen Code auf betroffenen Systemen auszuführen. Die Entwickler haben einen Patch veröffentlicht, der das Problem behebt. Admins sollten dringend alle betroffenen Systeme aktualisieren, um Schäden zu vermeiden.

Sicherheitsforscher haben eine hochsophistizierte Schwachstelle im Adobe Reader entdeckt, die seit mindestens Dezember 2025 von Angreifern ausgenutzt wird. Mit präparierten PDF-Dokumenten können Schadcode eingeschleust und Systeme kompromittiert werden. Da bisher kein Patch verfügbar ist, bleibt Admins wohl nichts anderes übrig, als den Reader vorerst ganz vom Netz zu nehmen, bis Adobe endlich mal die Hosen runterlässt und einen Fix liefert.

Google hat in Chrome 147 eine Reihe kritischer Schwachstellen im WebML-Standard geschlossen. Diese Sicherheitslücken hätten es Angreifern ermöglicht, Speicherfehler auszunutzen und potenziell die Kontrolle über das System zu erlangen. Der Patch kostet Google angeblich 86.000 US-Dollar. Sysadmins sollten Chrome umgehend auf die neueste Version aktualisieren, um sich vor diesen Schwachstellen zu schützen.

Eine Sicherheitslücke in Biztalk360 vor Version 11.5 ermöglicht es Angreifern, durch fehlerhafte Zugriffskontrolle eine manipulierte DLL-Datei auf den Server zu laden und darüber eine Remote-Code-Ausführung zu erreichen. Administratoren sollten schnellstmöglich auf die neueste Version von Biztalk360 aktualisieren, um sich vor dieser kritischen Schwachstelle zu schützen.

Forscher entdeckten eine Schwachstelle mit hoher Gefährdungsstufe in D-Link DIR-645-Routern. Angreifer können durch Manipulation der Hedwig-CGI-Funktion einen Puffer-Überlauf ausnutzen und so die Kontrolle über das Gerät erlangen. Leider betrifft dies nur noch von D-Link nicht mehr unterstützte Produkte, sodass Nutzer keine Sicherheitsupdates erwarten können. Admins sollten betroffene Router umgehend durch aktuelle Modelle ersetzen, da ein öffentlicher Exploit-Code vorliegt.

Canonical LXD, einer der beliebtesten Container-Engines, weist eine kritische Sicherheitslücke (CVE-2026-34177) auf. Angreifer mit Zugriff auf eine virtuelle Maschine können durch Manipulation von AppArmor-Regeln und QEMU-Konfigurationen die Kontrolle über den gesamten LXD-Cluster und damit das Wurzelverzeichnis des Hosts übernehmen. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen.

Die Typescript-Bibliothek Kysely bis einschließlich Version 0.28.11 weist eine kritische SQL-Injektions-Lücke auf. Angreifer können durch manipulierte Eingaben in der JSON-Pfad-Kompilierung für MySQL und SQLite willkürlichen SQL-Code ausführen. Der Patch in Version 0.28.12 behebt dieses Problem.