Tech Blog

Zwei kritische Sicherheitslücken (CVE-2026-4163, CVE-2026-4164) in Wavlink-Routern ermöglichen Angreifern das Ausführen beliebiger Befehle. Die Schwachstellen betreffen die SetName/GuestWifi-Funktion und erlauben manipulierte Anfragen, um Schadcode ferngesteuert auszuführen. Da Exploits öffentlich verfügbar sind, wird Nutzern dringend empfohlen, ihre Geräte auf die neueste Firmware zu aktualisieren.

Eine kritische Sicherheitslücke mit einer Bewertung von 9.8 wurde in der telnetd-Komponente der GNU inetutils-Bibliothek bis zur Version 2.7 entdeckt. Die Schwachstelle ermöglicht einen Schreibzugriff außerhalb des Puffers im LINEMODE SLC-Handler. Das lässt nichts Gutes erahnen und sollte schnellstens gepatcht werden, bevor die Script-Kiddies wieder zuschlagen.

Die Sicherheitslücke CVE-2026-32306 in der Telemetrie-Aggregations-API von OneUptime erlaubt es authentifizierten Nutzern, beliebigen SQL-Code in ClickHouse einzuschleusen. Dies ermöglicht den vollständigen Zugriff auf Telemetriedaten aller Mandanten, Datenmanipulation und potenziell sogar Remote-Code-Ausführung. Der Patch in Version 10.0.23 behebt dieses kritische Problem.

Google hat eine hochkritische Sicherheitslücke im Chrome-Browser behoben, die durch manipulierte Webinhalte ausgenutzt werden kann, um beliebigen Code in der Browser-Sandbox auszuführen. Die Schwachstelle, bekannt als CVE-2026-3910, betrifft den V8 JavaScript- und WebAssembly-Motor und wird bereits aktiv für Angriffe missbraucht. Organisationen sollten Chrome umgehend auf die neuesten, gepatchten Versionen aktualisieren, um sich vor dieser Bedrohung zu schützen.

Veeam hat mehrere kritische Sicherheitslücken in seiner Backup- und Replikationssoftware behoben, die eine Remotecodeausführung ermöglichten. Die Schwachstellen CVE-2026-21666 (CVSS 9.9) und CVE-2026-21667 erlaubten authentifizierten Domänennutzern, die Kontrolle über den Backup-Server zu übernehmen. Admins sollten die Patches schnell einspielen, um ihre Systeme vor Angriffen zu schützen.

Der Honeywell IQ4x Gebäudemanagement-Controller hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, ohne Authentifizierung vollen Zugriff auf die Web-Oberfläche zu erlangen. Standardmäßig läuft das System im "System Guest"-Modus, was einen unkontrollierten Lese- und Schreibzugriff auf die HTTP-Schnittstelle erlaubt. Angreifer können darüber neue Administratorkonten erstellen und so die legitimen Nutzer von der Verwaltung des Systems ausschließen. Dies stellt ein ernsthaftes Risiko für die Integrität von Gebäudemanagementsystemen dar.

Das Open-Source-Echtzeit-Messaging-System Centrifugo ist anfällig für eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle, die es Angreifern ermöglicht, beliebige Netzwerkanfragen auszuführen. Das Problem betrifft Versionen vor 6.7.0 und kann durch manipulierte JWT-Token ausgenutzt werden. Ein Patch ist verfügbar.

Forscher haben eine kritische Sicherheitslücke in Android-Geräten aufgedeckt, die es Angreifern ermöglicht, in nur 45 Sekunden die vollständige Kontrolle über das Gerät zu erlangen. Die Schwachstelle betrifft Mobilchips von MediaTek und kann Smartphones in "Glastresen" verwandeln. Ein Patch ist dringend erforderlich, um die Millionen betroffener Geräte vor Missbrauch zu schützen.

Google Chrome vor Version 146.0.7680.71 weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, auf den Arbeitsspeicher zuzugreifen und auszulesen. Diese Lücke im V8-JavaScript-Engine hat eine Bewertung von 8.8 auf der CVSS-Skala und muss dringend gepatcht werden, um Schäden durch Fernzugriffe zu verhindern.

Eine schwerwiegende Schwachstelle mit der CVE-ID CVE-2023-43010 in Apple-Produkten wie iOS, iPadOS und macOS ermöglicht die Ausnutzung von Speicherkorruption durch manipulierte Webinhalte. Apple hat das Problem in den Versionen 17.2 und 16.7.15 behoben. Sysadmins sollten die Aktualisierungen zeitnah einspielen, um ihre Systeme vor möglichen Angriffen zu schützen.