Tech Blog

Der Honeywell IQ4x Gebäudemanagement-Controller hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, ohne Authentifizierung vollen Zugriff auf die Web-Oberfläche zu erlangen. Standardmäßig läuft das System im "System Guest"-Modus, was einen unkontrollierten Lese- und Schreibzugriff auf die HTTP-Schnittstelle erlaubt. Angreifer können darüber neue Administratorkonten erstellen und so die legitimen Nutzer von der Verwaltung des Systems ausschließen. Dies stellt ein ernsthaftes Risiko für die Integrität von Gebäudemanagementsystemen dar.

Das Open-Source-Echtzeit-Messaging-System Centrifugo ist anfällig für eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle, die es Angreifern ermöglicht, beliebige Netzwerkanfragen auszuführen. Das Problem betrifft Versionen vor 6.7.0 und kann durch manipulierte JWT-Token ausgenutzt werden. Ein Patch ist verfügbar.

Forscher haben eine kritische Sicherheitslücke in Android-Geräten aufgedeckt, die es Angreifern ermöglicht, in nur 45 Sekunden die vollständige Kontrolle über das Gerät zu erlangen. Die Schwachstelle betrifft Mobilchips von MediaTek und kann Smartphones in "Glastresen" verwandeln. Ein Patch ist dringend erforderlich, um die Millionen betroffener Geräte vor Missbrauch zu schützen.

Google Chrome vor Version 146.0.7680.71 weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, auf den Arbeitsspeicher zuzugreifen und auszulesen. Diese Lücke im V8-JavaScript-Engine hat eine Bewertung von 8.8 auf der CVSS-Skala und muss dringend gepatcht werden, um Schäden durch Fernzugriffe zu verhindern.

Eine schwerwiegende Schwachstelle mit der CVE-ID CVE-2023-43010 in Apple-Produkten wie iOS, iPadOS und macOS ermöglicht die Ausnutzung von Speicherkorruption durch manipulierte Webinhalte. Apple hat das Problem in den Versionen 17.2 und 16.7.15 behoben. Sysadmins sollten die Aktualisierungen zeitnah einspielen, um ihre Systeme vor möglichen Angriffen zu schützen.

Eine Schwachstelle vom Typ Pufferüberlauf im D-Link DIR-513 Router v1.10 ermöglicht es Angreifern, durch Manipulation des curTime-Parameters in der Funktion "formSetWizardSelectMode" die Kontrolle über das Gerät zu übernehmen. Mit einem CVE-Schweregrad von 7.5 (Hoch) sollten Administratoren das Gerät dringend aktualisieren, sobald ein Patch verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-70245, CVE-2026-26793).

Das Homey BNB V4-System enthält eine schwerwiegende SQL-Injection-Schwachstelle im Admin-Loginbereich. Unauthentifizierte Angreifer können durch Eingabe von SQL-Operatoren in Benutzername und Passwort die Authentifizierung umgehen und unbefugten Zugriff auf das Adminpanel erlangen. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Eine kritische Sicherheitslücke (CVE-2026-23744) mit einer Bewertung von 9.8 wurde in den Versionen 1.4.2 und früher des lokalen Entwicklungstools MCPJam inspector entdeckt. Die Schwachstelle ermöglicht Angreifern die Ausführung von Schadcode, da das Tool standardmäßig auf 0.0.0.0 lauscht anstatt auf 127.0.0.1. Mit einer simplen HTTP-Anfrage können Angreifer die RCE-Lücke ausnutzen. Die Version 1.4.3 enthält einen Patch, der das Problem behebt.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2025-70039 wurde in der Version 2023.Q1.1223 des Linagora Twake-Produkts entdeckt. Die Schwachstelle ermöglicht es Angreifern, durch die unsachgemäße Neutralisierung von Sonderzeichen in Betriebssystem-Befehlen, beliebigen Code auszuführen. Administratoren sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-70039, CVE-2026-25173).

Eine kritische Sicherheitslücke in der Entwicklungsumgebung des Headless-CMS TinaCMS ermöglicht es Angreifern, durch einfaches Aufrufen einer manipulierten Website, willkürliche Dateien auf den Rechnern von Entwicklern zu lesen, zu schreiben und zu löschen. Die Lücke mit der CVE-ID CVE-2026-28792 wurde in Version 2.1.8 behoben.