Tech Blog

Eine kritische Schwachstelle für reflektiertes Cross-Site-Scripting (XSS) wurde in der WeGIA Web Manager-Software für gemeinnützige Einrichtungen vor Version 3.6.2 entdeckt. Die Lücke ermöglicht es Angreifern, über den id_memorando-GET-Parameter beliebigen JavaScript-Code in den Kontext authentifizierter Nutzer einzuschleusen und so deren Browsersitzung zu kompromittieren. Betroffene Nutzer sollten dringend auf Version 3.6.2 oder höher aktualisieren, um das Risiko zu bannen.

Zalando's Skipper HTTP-Router, der für Service-Komposition eingesetzt wird, weist vor Version 0.23.0 eine Sicherheitslücke in der Standardkonfiguration auf. Der -lua-sources-Parameter ermöglicht es böswilligen Nutzern, Lua-Filter zu erstellen und einzuschleusen. Angreifer könnten diese Funktion über eine Kubernetes-Ingress-Ressource ausnutzen und so unbefugten Zugriff auf das zugrunde liegende Dateisystem erlangen. Auch der Zugriff auf sensible Geheimnisse in Skipper-Logs wäre möglich. Das Problem wurde in Version 0.23.0 behoben, ein Update wird daher dringend empfohlen.

Die Entwicklungsplattform MCPJam Inspector wies bis zur Version 1.4.2 eine kritische Sicherheitslücke auf, die Angreifern die Ausführung von Schadcode ermöglichte. Durch die Standardeinstellung, auf allen Netzwerkschnittstellen zu lauschen, konnten Angreifer die Lücke über präparierte HTTP-Anfragen ausnutzen. Nutzer sollten dringend auf Version 1.4.3 aktualisieren, in der die Sicherheitslücke CVE-2026-23744 behoben wurde.

In der Modular-Connector-Komponente von Modular DS wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, ihre Rechte im System unrechtmäßig zu erhöhen. Betroffen sind die Versionen 2.5.2 bis, aber nicht einschließlich, 2.6.0. Dadurch können sensible Funktionen für unbefugte Nutzer zugänglich werden, was die Integrität des Systems gefährdet.

Eine Fehlkonfiguration in Microsoft Power Apps ermöglicht autorisierten Nutzern die Ausführung beliebigen Codes über ein Netzwerk. Diese kritische Schwachstelle (CVE-2026-20960) stellt ein erhebliches Risiko dar und kann Angreifern den Zugriff auf sensible Systeme und Daten verschaffen. Admins sollten umgehend Gegenmaßnahmen ergreifen, sobald ein Patch von Microsoft verfügbar ist.

Eine kritische Sicherheitslücke in Apache bRPC erlaubt Angreifern die Ausführung beliebiger Befehle auf betroffenen Systemen. Admins sollten dringend einen Patch installieren, um sich vor dieser Schwachstelle zu schützen. Ansonsten drohen böse Überraschungen aus dem Netz.

Eine kritische Schwachstelle im WordPress-Plugin "RegistrationMagic" (bis Version 6.0.7.1) ermöglicht Angreifern ohne Authentifizierung die Eskalation ihrer Rechte. Durch Manipulation des "admin_order"-Parameters können sie ihre Berechtigungen auf "manage_options" erhöhen. Auch wenn eine Ausnutzung der Lücke zunächst ohne Anmeldung möglich ist, erfordert die vollständige Kompromittierung zumindest einen Abonnenten-Account.

Eine Schwachstelle in der Libtiff-Bibliothek ermöglicht Angreifern, durch das Einschleusen speziell präparierter TIFF-Bilddateien, die Kontrolle über den betroffenen Rechner zu erlangen. Die Lücke kann zur Ausführung beliebigen Codes oder sogar zum Absturz der Anwendung führen. Administratoren sollten umgehend Patches oder Workarounds implementieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

Eine schwerwiegende Sicherheitslücke (CVE-2025-14236) in der Adressbuch-Verarbeitung bei Canon-Multifunktionsdruckern ermöglicht Angreifern im Netzwerksegment, die Geräte zum Absturz zu bringen oder beliebigen Code auszuführen. Betroffen sind diverse Modelle der Serien Satera, Color imageCLASS, i-SENSYS und imageRUNNER mit Firmware-Version 06.02 oder älter. Ein Patch ist erforderlich, um das kritische Sicherheitsrisiko zu beheben. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14236, CVE-2025-14231).

Eine kritische Sicherheitslücke in den Druckertreibern verschiedener Multifunktionsgeräte und Laserdrucker ermöglicht Angreifern im Netzwerk, die betroffenen Produkte zum Absturz zu bringen oder sogar beliebigen Code auszuführen. Betroffen sind ältere Firmwareversionen von Geräten der Serien Satera, Color imageCLASS, imageCLASS und i-SENSYS. Ein Patch ist dringend erforderlich, um die Systeme vor Missbrauch zu schützen.