Tech Blog

Schwachstelle in MLFlow-Versionen bis 3.4.0 ermöglicht DNS-Umleitungsangriffe. Angreifer können so unbefugt auf REST-Schnittstellen zugreifen und Experimente auslesen, ändern oder löschen. Das Risiko von Datenverlust oder -manipulation ist gegeben. Das Problem wurde in Version 3.5.0 behoben.

Die US-Cyberbehörde CISA warnt vor einer kritischen Sicherheitslücke in der beliebten Git-Server-Software Gogs. Die Schwachstelle mit der CVE-ID CVE-2025-8110 ermöglicht Angreifern das Ausführen von beliebigem Code. Laut CISA wird die Lücke bereits aktiv ausgenutzt. Admins sollten Gogs umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-8110, CVE-2025-8110).

Eine kritische SQL-Injection-Schwachstelle (CVE-2025-52694, CVSS 10) in Produkten des Herstellers Advantech gefährdet die Sicherheit von IoT-Geräten. Der Angreifer kann die Kontrolle über die betroffenen Systeme erlangen. Bis zur Verfügbarkeit eines Patches empfiehlt sich, die Geräte von öffentlichen Netzwerken zu trennen und den Zugriff zu beschränken.

In der SAP Fiori App "Intercompany Balance Reconciliation" wurde eine kritische Sicherheitslücke entdeckt, die es einem authentifizierten Nutzer ermöglicht, seine Berechtigungen zu erweitern. Dies hat schwerwiegende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, die Verfügbarkeit ist jedoch nicht betroffen.

Eine Sicherheitslücke mit hoher Gefährdung (CVE-2026-0507) in SAP Application Server für ABAP und SAP NetWeaver RFCSDK ermöglicht es einem authentifizierten Angreifer mit Administratorrechten, beliebige Betriebssystem-Befehle auszuführen. Dies kann zu einem vollständigen Kontrollverlust über das betroffene System führen. Sicherheitsexperten empfehlen dringend das Einspielen des bereitgestellten Patches, um die Verwundbarkeit zu beheben. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0507, CVE-2026-0501, CVE-2026-0498).

Eine Authentifizierungslücke in der SAP ABAP-Plattform ermöglicht es Angreifern, ABAP-Funktionen auszuführen und Daten zu manipulieren. Die Schwachstelle mit der CVE-ID CVE-2026-0506 hat eine hohe Schwere und betrifft die Integrität sowie Verfügbarkeit des Systems, jedoch nicht die Vertraulichkeit. Administratoren sollten umgehend Sicherheitsupdates einspielen, um dieses Leck zu stopfen.

Eine kritische Sicherheitslücke im SAP Wily Introscope Enterprise Manager ermöglicht es unauthentifizierten Angreifern, über eine manipulierte JNLP-Datei Schadcode auf betroffenen Systemen auszuführen. Damit können Vertraulichkeit, Integrität und Verfügbarkeit komplett kompromittiert werden. Ein Patch ist dringend erforderlich, um Systeme vor dieser Katastrophe zu bewahren. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0500, CVE-2024-56835, CVE-2025-25249).

Eine kritische Sicherheitslücke in der SAP HANA-Datenbank ermöglicht Angreifern mit gültigen Zugangsdaten den Zugriff auf Administratorrechte. Der Exploit kann zu einem vollständigen Kompromittieren der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen. Administratoren sollten schnellstmöglich einen Patch einspielen, um das System vor Angriffen zu schützen.

In Hikvision-Überwachungskameras, NVRs, DVRs und anderen Geräten wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2025-66177 entdeckt. Ein Angreifer im selben lokalen Netzwerk könnte die Geräte durch speziell präparierte Pakete zum Absturz bringen. Ein Patch ist dringend erforderlich, um die Verwundbarkeit mit einer Bewertung von 8.8 "Hoch" zu schließen.

Eine Sicherheitslücke in der NTLM-Authentifizierung der libsoup-Bibliothek, die von GNOME und anderen Anwendungen für Netzwerkkommunikation genutzt wird, kann zu Abstürzen führen. Bei der Verarbeitung extrem langer Passwörter kann ein Überlauf bei der internen Größenberechnung auftreten, was zu fehlerhafter Speicherallokation und unsicherer Datenkopie führt. Betroffen sind Anwendungen, die libsoup verwenden - diese können unerwartet abstürzen und so Denial-of-Service-Risiken bergen.