Tech Blog

Die von JNC entwickelten Produkte IAQS und I6 weisen eine kritische Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, Administratorrechte zu erlangen. Die Schwachstelle betrifft die Client-seitige Durchsetzung der Server-seitigen Sicherheit. Ein Patch ist dringend erforderlich, um das System vor Missbrauch zu schützen.

Eine Schwachstelle im ALGO 8180 IP Audio Alerter ermöglicht Angreifern die Ausführung beliebigen Codes ohne Authentifizierung. Die Sicherheitslücke betrifft die Verarbeitung des Alert-Info-Headers in SIP-INVITE-Anfragen und kann zu Pufferüberlauf führen. Admins sollten dringend ein Firmware-Update einspielen, sobald es verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0792, CVE-2026-0794).

Eine schwerwiegende Sicherheitslücke in Zimbra Collaboration Server 10.0 und 10.1 erlaubt es Angreifern, ohne Authentifizierung beliebige Dateien aus dem WebRoot-Verzeichnis einzubinden. Die Schwachstelle betrifft den RestFilter-Servlet und kann für Local File Inclusion (LFI) ausgenutzt werden. Betroffene Admins sollten dringend ein Update auf eine nicht betroffene Version installieren.

Eine kritische Sicherheitslücke, die fast 11 Jahre unentdeckt blieb, wurde in der GNU InetUtils telnet-Daemon-Software (telnetd) gefunden. Die Schwachstelle, die mit der Bewertung 9.8/10.0 im CVSS-System als sehr schwerwiegend eingestuft wird, ermöglicht Angreifern das Umgehen der Authentifizierung und den Erhalt von Root-Zugriff. Betroffen sind alle Versionen von GNU InetUtils von 1.9.3 bis einschließlich 2.7. Administratoren sollten dringend auf Patches oder Workarounds der Entwickler warten, um ihre Systeme vor Kompromittierung zu schützen.

Solvera Software Services' Produkt Teknoera ist von einer Schwachstelle beim uneingeschränkten Datei-Upload betroffen. Angreifer können dadurch schädliche Dateien hochladen und so die Sicherheit der Anwendung und den Zugriff auf sensible Daten kompromittieren. Anwender müssen geeignete Sicherheitsmaßnahmen ergreifen, um dieses Risiko zu mindern. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-10856, CVE-2025-10856).

Eine kritische Sicherheitslücke im WordPress Plugin "Event Tickets with Ticket Scanner" erlaubt Angreifern die Ausführung beliebigen Codes. Betroffen sind alle Versionen bis 2.7.10. Ein Patch ist noch nicht verfügbar.

Eine kritische SQL-Injektionsschwachstelle in Aida Computers Hotel-WLAN-Lösung ermöglicht es Angreifern, Datenbankanfragen zu manipulieren und so auf sensible Informationen zuzugreifen. Obwohl der Hersteller informiert wurde, gibt es bislang keine Lösung für dieses Problem. Betroffene Nutzer sollten umgehend Gegenmaßnahmen ergreifen, um das Risiko unberechtigter Datenzugriffe zu minimieren.

Eine kritische Sicherheitslücke in der E-Mail-Software SmarterMail ermöglicht Angreifern den unbefugten Zugriff auf Postfächer. Trotz des nur zwei Tage zuvor veröffentlichten Patches wird die Schwachstelle bereits aktiv ausgenuttet. Betreiber von SmarterMail-Servern sollten das Update schnell einspielen, um ihre Systeme vor Kompromittierung zu schützen.

Ach du Scheiße, mal wieder eine kritische Sicherheitslücke in einem Laravel-Komponente. Dieses Mal betrifft es den Reverb-Websocket-Dienst, der unsachgemäß mit Daten aus dem Redis-Channel umgeht. Bis Version 1.6.3 konnte das zu Remote Code Execution führen, besonders wenn Redis ohne Authentifizierung läuft. Zum Glück gibt es schon einen Patch in Version 1.7.0. Aber hey, wer lässt denn auch so ein wichtiges Teil wie Redis ohne Passwort im Internet stehen? Sysadmins, die sich mit der Materie auskennen, werden das Problem sicher schnell gelöst haben.

Eine Sicherheitslücke in der vLLM-Bibliothek für große Sprachmodelle ermöglicht Angreifern die Ausführung beliebigen Schadcodes. Betroffen sind Versionen von 0.10.1 bis, aber nicht einschließlich, 0.14.0. Das Problem entsteht, wenn vLLM Hugging-Face-Module ohne ausreichende Überprüfung des "trust_remote_code"-Parameters lädt. Dadurch können Angreifer ihre Python-Codes beim Serverstart ausführen, noch bevor API-Anfragen verarbeitet werden. Das stellt ein erhebliches Sicherheitsrisiko für Systeme dar, die vLLM einsetzen.