Tech Blog

Forscher entdeckten schwerwiegende Sicherheitslücken in der libpng-Referenzimplementierung, die seit über 30 Jahren im Einsatz ist. Die Lücken ermöglichen Remote-Code-Execution, auch auf ARM-Systemen. Betroffen sind zahlreiche Software-Produkte, die die libpng-Bibliothek nutzen. Patches sind erforderlich, um die Schwachstellen CVE-2026-33636 und CVE-2026-33416 zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-2441, CVE-2026-26831).

Eine Sicherheitslücke mit der Bezeichnung CVE-2026-27728 in der beliebten Texteditor-Software Vim ermöglicht Angreifern die Ausführung von beliebigem Schadcode. Die Schwachstelle, die als hochgradig kritisch eingestuft wird, kann ausgenutzt werden, sobald ein Nutzer eine präparierte Datei öffnet. Betroffene Administratoren sollten schnellstmöglich das neueste Vim-Update einspielen, um sich vor dieser Bedrohung zu schützen.

Openclaw vor Version 2026.3.13 ist anfällig für eine Replay-Schwachstelle, die Angreifer ausnutzen können, um Bootstrap-Setup-Codes während des Geräte-Pairing-Prozesses auszunutzen. Diese Lücke ermöglicht es Angreifern, einen gültigen Bootstrap-Code mehrfach zu verwenden, bevor er genehmigt wird, was zu einer Eskalation der Berechtigungen auf Operator-Admin-Niveau führen kann. Der Fehler steckt im Geräte-Pairing-Verifizierungsprozess, daher ist es für Nutzer dringend erforderlich, auf die neueste Version zu aktualisieren, um die Risiken zu mindern.

Eine schwerwiegende Sicherheitslücke mit einem CVSS-Score von 9,1 wurde in der Open-Source-Bibliothek Scriban entdeckt. Die Lücke ermöglicht Angreifern das Entkommen aus der Sandbox und kann somit zu einem Kompromittieren des gesamten Systems führen. Betroffen sind schätzungsweise 40 Millionen .NET-Installationen. Administratoren sollten umgehend ein Update auf die aktuellste Version von Scriban einspielen, um ihre Systeme vor diesem kritischen Fehler zu schützen.

Hacker haben eine Schwachstelle im WebRTC-Protokoll ausgenutzt, um Kreditkartendaten von Magento-Shops abzuschöpfen. Die Lücke (CVE-2025-54236) umgeht die PCI-Sicherheitsstandards und ermöglicht das Ausspähen sensibler Daten. Ein Flicken ist dringend erforderlich, um Kunden vor Betrug zu schützen.

Eine Sicherheitslücke in Undertow ermöglicht es Angreifern, speziell präparierte Anfragen zu konstruieren, bei denen Kopfzeilennamen unterschiedlich von Undertow und vorgeschalteten Proxys interpretiert werden. Diese Diskrepanz kann für Request-Smuggling-Attacken ausgenutzt werden, um Sicherheitskontrollen zu umgehen und unbefugt auf Ressourcen zuzugreifen.

Eine Sicherheitslücke in GitLab CE/EE ermöglichte es Nutzern mit minimalen Berechtigungen, Zugangsdaten für die Jira-Integration zu erbeuten und sich als GitLab-Anwendung auszugeben. Das Unternehmen hat das Problem in den Versionen 14.3 bis 18.8.6, 18.9 bis 18.9.2 und 18.10 bis 18.10.0 behoben.

Eine kritische Sicherheitslücke in der Deserialisierung von Daten wurde in Apache Seata gefunden. Betroffen sind Versionen von 2.0.0 bis vor 2.2.0. Allerdings ist die Lücke auf den optionalen Raft-Cluster-Modus beschränkt, den die meisten Nutzer nicht verwenden. Außerdem findet die Kommunikation zwischen den Seata-Komponenten normalerweise in internen Netzwerken statt, was eine Ausnutzung erschwert. Nutzer werden empfohlen, auf Version 2.2.0 zu aktualisieren, die das Problem behebt.

Eine kritische Sicherheitslücke in der PHP-Implementierung des AncoraThemes Wizor's Investitions-Plugins erlaubt lokal eingebundene Dateien auszulesen. Betroffen sind alle Versionen bis einschließlich 2.12. Entwickler sollten umgehend auf eine aktualisierte Version wechseln, um das Risiko von Angriffen zu minimieren.

In der Dokan-Software, genauer gesagt dem Dokan-Lite-Treiber, wurde eine Schwachstelle mit der CVE-ID CVE-2026-24359 entdeckt. Diese ermöglicht Angreifern die Umgehung der Authentifizierung. Betroffen sind alle Versionen von Dokan von n/a bis einschließlich 4.2.4. Ein Patch zur Behebung des Problems ist dringend erforderlich.