Tech Blog

Eine kritische Sicherheitslücke in Langflow, die zu unberechtigter Remotecode-Ausführung führt, wurde nur Stunden nach der Veröffentlichung der Schwachstelle bereits ausgenutzt. Admins müssen dringend handeln und das System aktualisieren, um Systeme vor Kompromittierung zu schützen.

Das Mesop UI Framework weist eine kritische Pfad-Traversal-Schwachstelle in Versionen 1.2.2 und älter auf. Angreifer können einen manipulierten state_token im UI-Datenstrom ausnutzen, um auf sensible Dateien auf der Festplatte zuzugreifen. Dies kann zu Denial-of-Service-Angriffen oder sogar willkürlichen Dateiveränderungen führen. Nutzer werden dringend empfohlen, auf Version 1.2.3 zu aktualisieren, in der dieses Problem behoben wurde.

Eine kritische Sicherheitslücke in der Yi Home Camera 2 ermöglicht es Angreifern, den Firmware-Update-Prozess remote auszunutzen. Obwohl der Schwierigkeitsgrad eines solchen Angriffs relativ hoch ist, erhöht die Verfügbarkeit öffentlicher Exploits das Risiko. Der Hersteller hat trotz Kontaktaufnahme bisher nicht auf dieses Problem reagiert. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-4478, CVE-2026-4475).

Sicherheitsforscher warnen vor einer kritischen Sicherheitslücke im Magento-REST-API, die es Angreifern ohne Authentifizierung ermöglicht, willkürliche Dateien hochzuladen und damit Schadcode auszuführen sowie Konten zu übernehmen. Die Schwachstelle wird als "PolyShell" bezeichnet, da der Angriff darauf abzielt, bösartigen Code als Bild zu tarnen.

Die Qilin-Ransomware hat das Unternehmen L H Lacy angegriffen und droht mit einem Datenleck. Dieser kritische Sicherheitsvorfall erfordert schnelles Handeln, um Schäden zu begrenzen und die Systeme wieder herzustellen. Sicherheitsverantwortliche sollten ihre Abwehrmaßnahmen überprüfen und Mitarbeiter für diese Bedrohung sensibilisieren.

Eine kritische Schwachstelle (CVE-2026-4464) in der ANGLE-Komponente von Google Chrome ermöglichte es Angreifern, durch präparierte HTML-Seiten potenziell Heap-Korruption auszunutzen. Google hat das Problem in Version 146.0.7680.153 behoben. Admins sollten Chrome umgehend auf die aktuelle Version aktualisieren, um ihre Systeme vor dieser mittelschweren Sicherheitslücke zu schützen.

Das WordPress-Plugin "Aimogen Pro" ist bis einschließlich Version 2.7.5 von einer kritischen Sicherheitslücke (CVE-2026-4038) betroffen. Durch die fehlende Berechtigungsprüfung in der Funktion "aiomatic_call_ai_function_realtime" können unauthentizierte Angreifer beliebige WordPress-Funktionen wie "update_option" aufrufen. Damit können sie die Standard-Benutzerrolle auf "Administrator" ändern und die Benutzerregistrierung aktivieren, um so Administratorzugriff auf die verwundbare Website zu erlangen.

In der Version 1.0 des "itsourcecode Online Doctor Appointment System" wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, über die Datei "/admin/appointment_action.php" SQL-Injektionen durchzuführen. Die Schwachstelle kann aus der Ferne ausgenutzt werden, da ein öffentlicher Exploit existiert. Administratoren sollten das System umgehend auf die neueste Version aktualisieren, um die Lücke zu schließen.

Eine kritische SQL-Injection-Lücke in der Suchfunktion der Open Source Point-of-Sale-Software erlaubt es authentifizierten Angreifern mit Zugriff auf die Artikelsuche, beliebige SQL-Abfragen auszuführen. Die Schwachstelle mit der CVE-ID CVE-2026-32888 hat einen Schweregrad von 8.8 (Hoch) und zum Zeitpunkt der Veröffentlichung noch keinen Patch. Sysadmins müssen die Artikelsuchfunktion sorgfältig überprüfen und geeignete Gegenmaßnahmen ergreifen, bis ein Sicherheitsupdate verfügbar ist.

In Oracle Identity Manager und Oracle Web Services Manager wurde eine kritische Sicherheitslücke mit CVSS-Score 9.8 entdeckt. Angreifer können damit ohne Authentifizierung die Kontrolle über diese Produkte übernehmen. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0. Bis Oracle Patches veröffentlicht, müssen Administratoren dringend Gegenmaßnahmen ergreifen, um ihre Systeme vor Angriffen zu schützen.