Tech Blog

2 CVEs veröffentlicht für 8.4 High (CVE-2026-3517, CVE-2026-4048)

2 CVEs veröffentlicht für 9.1 Critical (CVE-2026-40313, CVE-2025-4083)

Forscher entdeckten zwei Sicherheitslücken in Apache Kafka, einer weit verbreiteten Streaming-Plattform. Die erste Lücke ermöglicht es Angreifern, die OAUTHBEARER-Authentifizierung zu umgehen und Zugriff auf sensible Daten zu erlangen. Die zweite Lücke führt zu Datenlecks durch fehlerhafte Protokollierung. Administratoren sollten dringend nach Patches Ausschau halten und ihre Kafka-Instanzen auf die neueste Version aktualisieren, um diese Schwachstellen zu beheben.

Eine schwerwiegende Sicherheitslücke mit Pufferüberlauf wurde in H3C Magic B0 Routern bis zur Version 100R002 entdeckt. Der Fehler betrifft die Funktion "Edit_BasicSSID" und kann von Angreifern remote ausgenutzt werden. Der Exploit wurde öffentlich bekannt gemacht, aber der Hersteller reagierte nicht auf die Offenlegung. Admins sollten dringend ein Sicherheitsupdate installieren, sobald es verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-6560, CVE-2026-6563, CVE-2026-6563).

Das WordPress-Plugin Prodigy Commerce ist bis Version 3.3.0 anfällig für eine kritische Local File Inclusion-Lücke. Unauthentifizierte Angreifer können damit beliebige Dateien auf dem Server einbinden und ausführen, was zu Datenverlust, Kontrollverlust und Schadcode-Ausführung führen kann. Betreiber sollten umgehend auf die neueste Version des Plugins aktualisieren.

Eine Schwachstelle im TGA-Codec der SAIL Bildverarbeitungsbibliothek ermöglicht potenzielle Heap-Pufferüberläufe. Während der Run-Packet-Pfad korrekte Prüfungen enthält, fehlen diese im Raw-Packet-Pfad, was Angreifern das Schreiben von bis zu 496 Byte manipulierter Daten über den Pufferrand hinaus erlaubt. Dies kann zu Denial of Service oder sogar Remotecodeausführung führen. Ein Patch behebt dieses Risiko.

Sicherheitsforscher haben eine neue Mirai-Variante entdeckt, die Schwachstellen in TBK-DVR-Geräten und veralteten TP-Link-WLAN-Routern ausnutzt, um sich darauf auszubreiten und ein DDoS-Botnetz aufzubauen. Die Hauptbedrohung ist die Ausnutzung der CVE-2024-3721, einer mittelschweren Schwachstelle für Befehlseinschleusung.

Eine kritische Sicherheitslücke im rekursiven Abstiegsparser des Hot Chocolate GraphQL Servers ermöglicht Angreifern durch speziell präparierte GraphQL-Dokumente einen Absturz des gesamten Worker-Prozesses. Dies führt zum Ausfall aller laufenden HTTP-Anfragen und Hintergrundaufgaben. Obwohl Begrenzungen wie MaxAllowedFields existieren, reichen die minimal benötigten Felder aus, um einen Absturz aufgrund von Überlauf des Rekursions-Stacks auszulösen. Die Entwickler haben dies in den neuesten Versionen durch Einführung eines MaxAllowedRecursionDepth-Parameters behoben. Anwender werden dringend empfohlen, auf die aktualisierten Versionen zu aktualisieren.

Das Open-Source-Kirchenverwaltungstool ChurchCRM hat eine Sicherheitslücke in seiner Datenbank-Backup-Wiederherstellung. Authentifizierte Administratoren können eine manipulierte Backup-Datei hochladen, die dann ohne Prüfung auf dem Server ausgeführt wird. Damit ist eine Ausführung von Schadcode möglich. Zusätzlich fehlt eine CSRF-Token-Überprüfung, was Angriffe über Cross-Site-Request-Forgery ermöglicht. Die Schwachstelle wurde in Version 7.2.0 behoben.