Tech Blog

In vm2-Versionen vor 3.10.2 ermöglicht eine schwerwiegende Sicherheitslücke Angreifern die Ausführung von beliebigem Code durch Umgehung der Sanitisierung von Promise-Callbacks. Das Update auf Version 3.10.2 behebt diesen kritischen Sicherheitsmangel. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22709, CVE-2025-52691, CVE-2026-1470, CVE-2025-62056).

Eine kritische Sicherheitslücke (CVE-2026-24470) in Zalando's Ingress-Controller Skipper ermöglichte es Nutzern mit entsprechenden Berechtigungen, Zugriff auf interne Dienste zu erlangen. Das Problem betraf Versionen vor 0.24.0, welche nun durch Deaktivierung des Kubernetes ExternalName-Features behoben wurden. Admins sollten Erlaubnislisten für ExternalName-Targets und reguläre Ausdrücke für zusätzliche Sicherheit einsetzen.

Eine schwerwiegende Sicherheitslücke in Microsoft Office ermöglicht es Angreifern, lokal böswilligen Code auszuführen. Das CVE-2026-20952 mit einem CVSS-Score von 8.4 ist ein Use-after-free-Fehler, der von Unbefugten ausgenutzt werden kann. Betroffene Nutzer sollten dringend die bereitgestellten Sicherheitsupdates von Microsoft installieren, um sich vor dieser Bedrohung zu schützen.

Eine kritische Sicherheitslücke in der Salesforce Marketing Cloud Engagement (CloudPagesUrl-Modul) ermöglicht Angreifern, den Webservice-Protokoll zu manipulieren. Diese Schwachstelle betrifft Marketing Cloud Engagement vor dem 21. Januar 2026 und hat eine Schweregrad-Bewertung von 9.8. Administratoren sollten dringend ein Sicherheitsupdate einspielen, um ihre Systeme vor unbefugtem Zugriff zu schützen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-24830 betrifft Ralim IronOS vor Version 2.23-rc2. Die Schwachstelle ermöglicht einen Integer-Overflow, was zu möglichen Abstürzen oder sogar Codeausführung führen kann. Betreiber sollten dringend ein Update auf eine unbeeinflusste Version durchführen, sobald dieses verfügbar ist.

Eine Sicherheitslücke mit hoher Schwere (CVE-2025-41726, CVSS 8.8) im Device Manager ermöglicht es einem Angreifer mit geringen Rechten, durch speziell präparierte Aufrufe des Web-Service oder der API beliebigen Code auszuführen. Ursache sind Ganzzahl-Überläufe, die zu Arbitrary Code Execution in privilegierten Prozessen führen können. Betroffene Administratoren sollten dringend nach Patches Ausschau halten und die Systeme in der Zwischenzeit isolieren.

Eine Sicherheitslücke in der Web-Oberfläche des ATEN eco DC ermöglicht es Angreifern, ihre Rechte auf betroffenen Systemen zu erhöhen. Dafür ist eine Authentifizierung erforderlich. Der Fehler resultiert aus fehlender Validierung der zugewiesenen Nutzerrolle bei der Verarbeitung von Anfragen. Ein Patch ist verfügbar, Administratoren sollten das Update zeitnah einspielen.

Eine Sicherheitslücke in Apache Continuum ermöglicht Angreifern mit Zugriff auf die REST-API, beliebige Befehle auf dem Server auszuführen. Da das Projekt nicht mehr weiterentwickelt wird, gibt es keine Patches. Nutzer müssen daher entweder alternative Lösungen finden oder den Zugriff auf ihre Installationen streng auf vertrauenswürdige Parteien beschränken.

Eine kritische Schwachstelle mit der Kennung CVE-2026-1420 wurde in der Firmware des Tenda AC23 Routers entdeckt. Der Fehler ermöglicht es Angreifern, durch Manipulation eines Arguments in der Datei "/goform/WifiExtraSet" einen Pufferüberlauf auszulösen. Dies kann für eine Fernsteuerung des Geräts ausgenutzt werden. Ein Exploit ist bereits veröffentlicht worden, daher sollten Administratoren umgehend ein Sicherheitsupdate einspielen, sobald dieses verfügbar ist.

Das Single Sign-On Portal von WellChoose weist eine kritische Sicherheitslücke auf, die es Angreifern erlaubt, beliebige Systemkommandos auf dem Server auszuführen. Die Schwachstelle mit der CVE-ID CVE-2026-1427 hat eine Bewertung von 8.8 auf der CVSS-Skala und ermöglicht Fernzugriff durch authentifizierte Nutzer. Administratoren sollten umgehend ein Sicherheitsupdate installieren, um ihre Systeme vor Missbrauch zu schützen.