Tech Blog

Canonical LXD, einer der beliebtesten Container-Engines, weist eine kritische Sicherheitslücke (CVE-2026-34177) auf. Angreifer mit Zugriff auf eine virtuelle Maschine können durch Manipulation von AppArmor-Regeln und QEMU-Konfigurationen die Kontrolle über den gesamten LXD-Cluster und damit das Wurzelverzeichnis des Hosts übernehmen. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen.

Die Typescript-Bibliothek Kysely bis einschließlich Version 0.28.11 weist eine kritische SQL-Injektions-Lücke auf. Angreifer können durch manipulierte Eingaben in der JSON-Pfad-Kompilierung für MySQL und SQLite willkürlichen SQL-Code ausführen. Der Patch in Version 0.28.12 behebt dieses Problem.

Eine schwerwiegende Sicherheitslücke in der Objektspeicherlösung MinIO erlaubt es Angreifern, die sich die OIDC-ClientSecret aneignen, beliebige Identitätstoken zu fälschen und damit uneingeschränkten Zugriff auf S3-Daten zu erlangen. Der Fehler wurde in Version 2026-03-17T21-25-16Z behoben, Anwender sollten dringend auf diese oder eine neuere Version aktualisieren.

In Airflow 3.2 wurde eine Sicherheitslücke behoben, bei der nach dem Logout eines Nutzers dessen JWT-Token nicht ungültig gemacht wurde. Dadurch bestand die Möglichkeit, das Token im Falle eines Abfangens wiederzuverwenden. Nutzer, die sich um die Logout-Szenarien und die Möglichkeit des Tokenmissbrauchs sorgen, sollten auf Airflow 3.2 oder höher upgraden.

Eine Sicherheitslücke in der Konfigurationsverarbeitung des Unfurl-Frameworks ermöglicht es Angreifern, den Flask-Debugger standardmäßig zu aktivieren. Dadurch können sensible Informationen preisgegeben oder sogar Remotecodeausführung erreicht werden. Betroffen sind Anwendungen, die das Unfurl-Framework nutzen und keine angemessene Eingabevalidierung implementiert haben.

GitLab hat eine Sicherheitslücke in seinen Versionen 16.9.6 bis 18.8.9, 18.9 bis 18.9.5 und 18.10 bis 18.10.3 behoben. Durch die Schwachstelle konnten authentifizierte Nutzer unbeabsichtigte serverseitige Methoden über Websocket-Verbindungen aufrufen. Die Lücke wurde als "Hoch" eingestuft und sollte zeitnah geschlossen werden.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-5854 wurde in der Firmware des Totolink A7100RU Routers entdeckt. Die Schwachstelle ermöglicht Fernzugriff und Ausführung beliebiger Befehle auf dem Gerät. Ein Exploit ist bereits öffentlich und kann von Angreifern missbraucht werden. Router-Betreiber sollten umgehend ein Firmware-Update einspielen, um sich vor Angriffen zu schützen.

Ach, schon wieder eine Schwachstelle in Chromes WebML. Diesmal können Angreifer durch mangelhafte Eingabevalidierung einen Speicherüberlauf auslösen und möglicherweise sogar Code ausführen. Zum Glück ist die Schwere nur als "gering" eingestuft - scheint also kein allzu großes Drama zu sein. Trotzdem sollten Nutzer schnell auf die aktuelle Chrome-Version upgraden, bevor irgendwelche Hacker anfangen, das auszunutzen.

Die Webanwendung WeGIA für gemeinnützige Einrichtungen wies bis Version 3.6.8 eine kritische SQL-Injection-Schwachstelle auf. Durch unzureichende Eingabevalidierung konnten authentifizierte Nutzer beliebige SQL-Befehle auf der Datenbank ausführen. Dieser Fehler wurde in Version 3.6.9 behoben.

Sicherheitsexperten sind verwirrt, da die Schwachstelle CVE-2026-39334 eine Kopie von CVE-2026-39334 ist. Alle Referenzen und Beschreibungen wurden entfernt, um eine versehentliche Verwendung zu verhindern. Es wird empfohlen, stattdessen ausschließlich CVE-2026-39334 zu verwenden.