Tech Blog

Versionen von OpenClaw vor 2026.2.19 enthalten eine Pfadtraversal-Schwachstelle im Feishu-Medien-Download-Workflow, bei der unsichere Medien-Keys direkt in temporäre Dateipfade eingebunden werden. Angreifer, die die Medien-Keys kontrollieren können, können so beliebige Dateien im OpenClaw-Prozess erstellen. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke mit CVE-2026-22171 zu schließen.

Die JavaScript-PDF-Bibliothek jsPDF wies bis Version 4.2.1 eine kritische Sicherheitslücke auf, die es Angreifern ermöglichte, über unsanitierte Eingaben in der "output"-Funktion beliebigen HTML-Code in den Browser-Kontext des Opfers einzuschleusen. Dies erlaubte die Ausführung von Skripten und den Zugriff auf sensible Daten. Der Patch in Version 4.2.1 behebt das Problem. Bis dahin sollte man Benutzereingaben vor der Übergabe an die "output"-Funktion sorgfältig überprüfen.

Eine kritische Sicherheitslücke in der Moodle-Erweiterung "mod_customcert" ermöglicht es Lehrern mit bestimmten Berechtigungen, Zertifikatselemente anderer Kurse einzusehen und zu manipulieren. Betroffen sind die Versionen vor 4.4.9 und 5.0.3. Die Schwachstelle ermöglicht Informationslecks und Datentampering über Kursgrenzen hinweg. Die Entwickler haben das Problem in den aktuellen Versionen behoben.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Desktop-Komponente des Oracle Edge Cloud Infrastructure Designer und Visualisierungs-Toolkits entdeckt. Leicht ausbeutbar ermöglicht sie einem unauthentifizierten Angreifer mit Netzwerkzugriff via HTTP die Übernahme des betroffenen Systems. Patches sind dringend erforderlich, um Schäden durch Ausnutzung dieser Schwachstelle (CVE-2026-21994) zu verhindern. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-21994, CVE-2025-15471).

Die Version 0.8.1-rc2 des LibreChat-Messengers verwendet den gleichen JWT-Geheimschlüssel für den Nutzersitzungsmechanismus und die RAG-API. Dies führt zu einer Kompromittierung der Dienstauthenifizierung der RAG-API. Administratoren sollten dringend auf eine neuere, sichere Version aktualisieren, um diese kritische Schwachstelle zu beheben.

Eine Sicherheitslücke im SpeedExam Online Examination System (SaaS) nach Version FEV2026 ermöglicht es Angreifern mit Zugangsberechtigung, die Beschränkungen auf der Clientseite zu umgehen und direkt auf die Methode "ReviewAnswerDetails" zuzugreifen. Dadurch können sie den vollständigen Antwortschlüssel einsehen.

Graphiti, ein Framework für KI-Agenten, hatte vor Version 0.28.2 eine Schwachstelle, die Cypher-Injection in Suchfiltern ermöglichte. Angreifer konnten über manipulierte Entitätstypen beliebigen Cypher-Code einschleusen. Dies betraf Backends wie Neo4j, FalkorDB und Neptune. Das Kuzu-Backend war nicht betroffen, da es parameterisierte Abfragen verwendete. Die Lücke wurde in Version 0.28.2 geschlossen.

Eine kritische SQL-Injection-Schwachstelle in Spring AI's MariaDBFilterExpressionConverter ermöglicht es Angreifern, Metadaten-basierte Zugriffskontrollen zu umgehen und beliebige SQL-Befehle auszuführen. Die Lücke entsteht durch fehlende Eingabesanitierung. Admins sollten dringend ein Sicherheitsupdate einspielen, sobald es verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22730, CVE-2026-22729).

Eine kritische Sicherheitslücke im WordPress-Plugin "KiviCare - Clinic & Patient Management System (EHR)" erlaubt es unauthentifizierten Angreifern, sich als beliebige Patienten anzumelden und so auf vertrauliche medizinische Aufzeichnungen, Termine, Rezepte und Abrechnungsinformationen zuzugreifen. Die Schwachstelle betrifft alle Versionen bis einschließlich 4.1.2 und resultiert aus mangelhafter Überprüfung des Zugangstokens beim Login über soziale Netzwerke.

Eine Sicherheitslücke im Arturia Software Center für macOS ermöglicht Angreifern durch Manipulation eines Skripts mit Administratorrechten die Ausführung beliebiger Befehle. Dies führt zu einer Privilegien-Eskalation auf dem betroffenen System. Ein Patch ist dringend erforderlich, um diese kritische Schwachstelle zu schließen.