Tech Blog

Inout EasyRooms Ultimate Edition v1.0 weist eine SQL-Injection-Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, die Datenbank zu manipulieren. Durch das Injizieren von bösartigem SQL-Code über den guests-Parameter können Angreifer Authentifizierung umgehen, sensible Daten extrahieren oder den Datenbankinhalt verändern. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2019-25525, CVE-2019-25526, CVE-2019-25527, CVE-2019-25528).

In mehreren Versionen von OpenProject, einer Open-Source-Projektmanagement-Software, wurde eine kritische SQL-Injection-Schwachstelle entdeckt. Angreifer konnten durch manipulierte Eingaben in Kostenabrechnungen beliebigen SQL-Code ausführen. Zusätzlich erlaubte eine weitere Sicherheitslücke das Einfügen von Ruby-Code in die Anwendung. Die Versionen 16.6.9, 17.0.6, 17.1.3 und 17.2.1 beheben diese Probleme.

In den Versionen von OPEXUS eComplaint und eCASE vor 10.1.0.0 wird der Verifizierungscode für das Zurücksetzen des Passworts im HTTP-Response offengelegt. Angreifer, die die E-Mail-Adresse eines Nutzers kennen, können so dessen Passwort und Sicherheitsfragen zurücksetzen, ohne die aktuellen Sicherheitsfragen beantworten zu müssen. Dies ermöglicht den Zugriff auf das Benutzerkonto.

Das WordPress-Plugin "Shinetheme Traveler" ist von einer kritischen Objektinjektions-Schwachstelle betroffen, die durch fehlerhafte Deserialisierung von unsicheren Daten verursacht wird. Alle Versionen vor 3.2.8.1 sind betroffen und können zu unbefugten Aktionen oder Datenlecks führen. Nutzer werden dringend empfohlen, das Plugin auf die aktuelle Version zu aktualisieren, um das Risiko zu mindern.

Amazon Threat Intelligence warnt vor einer aktiven Interlock-Ransomware-Kampagne, die eine kürzlich bekannt gewordene kritische Sicherheitslücke in der Cisco Secure Firewall Management Center (FMC) Software ausnutzt. Die Schwachstelle CVE-2026-20131 mit einem CVSS-Score von 10.0 ermöglicht einem unauthentifizierten Angreifer aus der Ferne den vollen Root-Zugriff auf betroffene Systeme. Administratoren sollten dringend das bereitgestellte Sicherheitsupdate einspielen, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-3888, CVSS 7.8) in Ubuntu Desktop 24.04 und höher erlaubt Angreifern ohne Berechtigungen den Aufstieg zum Root-Nutzer. Die Schwachstelle liegt in der Timing-Logik von systemd beim Bereinigen von Prozessen. Administratoren sollten dringend ein Ubuntu-Update einspielen, um diese Lücke zu schließen.

Apple hat eine Sicherheitslücke in WebKit behoben, die es ermöglichte, die Same-Origin-Policy zu umgehen und böswillig präparierte Webinhalte auszuführen. Die Schwachstelle mit der CVE-ID CVE-2026-20643 betrifft iOS, iPadOS und macOS. Apple hat in seinem ersten Sicherheitsupdate des Jahres die Lücke geschlossen.

Forscher haben eine schwerwiegende Sicherheitslücke im GNU InetUtils Telnet-Daemon (telnetd) entdeckt. Mit der Schwachstelle, die als CVE-2026-32746 bekannt ist, können Angreifer ohne Authentifizierung Schadcode mit Root-Rechten ausführen. Der Exploitierbarkeit wird mit einer CVSS-Bewertung von 9,8 von 10 als kritisch eingestuft. Betroffen sind Systeme, die den Telnet-Dienst auf Port 23 anbieten.

Eine hochkritische Sicherheitslücke mit einem CVSS-Score von 9.8 im Oracle Cloud Infrastructure Toolkit ermöglicht Angreifern die vollständige Übernahme betroffener Systeme. Betroffen sind Nutzer der Cloud-Infrastruktur-Verwaltungskonsole. Bis ein Patch verfügbar ist, empfehlen Experten dringend, das Toolkit nicht zu verwenden und alternative Sicherheitsmaßnahmen zu ergreifen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-27034, CVE-2025-54122, CVE-2025-21483, CVE-2026-2992).

Eine kritische Sicherheitslücke in Open Neural Network Exchange (ONNX) ermöglicht Zero-Interaction Supply-Chain-Angriffe. Durch Umgehung der Sicherheitskontrollen kann Schadcode über manipulierte Modelle eingeschleust und vertrauliche Daten abgegriffen werden. Bis zur Veröffentlichung eines Patches bleibt das System anfällig.