Tech Blog

NVIDIA hat Sicherheitslücken mit kritischer Einstufung in seinen maschinellen Lernframeworks behoben. Die Schwachstellen CVE-2025-23316 (CVSS 9.8) und weitere erlauben Angreifern Remotecodeausführung und Denial-of-Service-Attacken. Betroffen sind unter anderem Triton Inference Server, Isaac Lab und NeMo Framework. Nutzer sollten die bereitgestellten Patches zeitnah einspielen, um ihre KI-Systeme vor Kompromittierung zu schützen.

Sicherheitsforscher haben öffentliche Schwachstellen in Cisco IOx entdeckt, die es Angreifern ermöglichen, ohne Authentifizierung Protokolleinträge zu manipulieren und Admin-XSS-Angriffe durchzuführen. Betroffen sind die Cisco-Plattformen IOx und IOS XE. Cisco hat Patches veröffentlicht, um diese kritischen Sicherheitslücken zu schließen. Admins sollten ihre Systeme umgehend aktualisieren, um Schaden von ihren Netzwerken abzuwenden.

Die Perl-Middleware Plack::Middleware::Session::Cookie bis Version 0.21 weist eine Sicherheitslücke auf, die es Angreifern ermöglicht, willkürlichen Code auf dem Server auszuführen. Dies ist möglich, wenn keine geheime Signatur für die Cookie-Daten verwendet wird. Betroffen sind alle Nutzer dieser Middleware, die keine ausreichende Absicherung ihrer Cookies implementiert haben.

Eine Sicherheitslücke in der Web-Oberfläche bestimmter ASUS-Router ermöglicht Cross-Site Request Forgery (CSRF)-Angriffe. Dadurch können Angreifer mit den Rechten des angemeldeten Nutzers Systemkommandos ausführen. ASUS hat ein Sicherheitsupdate veröffentlicht, das das Problem behebt.

Eine schwerwiegende Sicherheitslücke mit der CVE-ID CVE-2026-4840 wurde in Netcore Power 15AX bis 3.0.0.6938 entdeckt. Angreifer können durch Manipulation des IpAddr-Parameters der Diagnostic Tool Interface-Komponente Schadcode einschleusen und somit die Kontrolle über betroffene Systeme erlangen. Der Exploit ist bereits öffentlich verfügbar, der Hersteller hat bislang nicht reagiert. Admins sollten umgehend nach Updates Ausschau halten und die Systeme sichern.

Eine kritische Schwachstelle mit einem Puffer-Überlauf in iOS und iPadOS wurde behoben. Ein entfernter Angreifer könnte damit die Systemstabilität gefährden oder sogar den Kernel beschädigen. Ein Patch ist in den Versionen 26.4 verfügbar.

Das WordPress-Plugin "Amelia Booking" ist bis einschließlich Version 9.1.2 anfällig für Insecure Direct Object References. Authentifizierte Angreifer mit Kundenzugriffsrechten oder höher können damit Passwörter ändern und potenziell Administratorkonten übernehmen. Die Schwachstelle betrifft die Pro-Version des Plugins.

Eine kritische SQL-Injection-Schwachstelle in der B2B-Software Netsis Panel ermöglicht es Angreifern, beliebigen SQL-Code auszuführen. Betroffen sind Versionen bis einschließlich 20251003. Der Hersteller Teknolojik Center Telecommunication Industry Trade Co. Ltd. wurde informiert, reagierte aber nicht. Admins sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor Missbrauch zu schützen.

Eine kritische Schwachstelle im Wavlink WL-NU516U1 Router ermöglicht Angreifern einen Puffer-Überlauf und potenzielle Fernsteuerung des Geräts. Die Schwachstelle mit der CVE-ID 2026-4861 hat einen Schweregrad von 8.8 und wurde bereits öffentlich bekannt gemacht, ohne dass der Hersteller darauf reagiert hat. Admins sollten umgehend ein Firmware-Update einspielen, sobald dieses verfügbar ist, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke in Restajet's Online-Lieferdienst ermöglicht die Ausbeutung des Password-Recovery-Mechanismus. Betroffen sind alle Versionen bis 19.12.2025. Der Hersteller reagierte auf die Offenlegung nicht. Systemadministratoren sollten dringend nach Updates Ausschau halten und die Zugangssicherheit überprüfen.