Tech Blog

Eine Pufferüberlauf-Schwachstelle in Fortinet-Produkten wie FortiManager erlaubt Angreifern möglicherweise die Ausführung von Schadcode, ohne sich vorher authentifizieren zu müssen. Der Erfolg des Angriffs hängt davon ab, ob die Schutzmaßnahmen gegen Pufferüberlauf umgangen werden können. Betroffene Anwender sollten dringend Patches von Fortinet installieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

In PX4 Autopilot-Versionen 1.12.x bis 1.15.x gibt es eine Logiklücke im Modusumschaltmechanismus. Beim Umschalten von Automatik- auf Handsteuerung, während die Drohne im "ARMED"-Zustand ist, fehlt eine Sicherheitsabfrage des Schubhebels. Dies kann zu unkontrolliertem Aufstieg und Sachschäden führen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-26741, CVE-2026-26742).

In Wekan-Versionen 8.31.0 bis 8.33 werden sensible Webhook-URLs und Authentifizierungs-Tokens unbeabsichtigt für alle Boardmitglieder und sogar unauthentifizierte Clients veröffentlicht. Angreifer können so unberechtigt auf die Webhooks zugreifen und externe Dienste missbrauchen. Das Problem wurde in Version 8.34 behoben.

Eine Sicherheitslücke mit der CVE-ID CVE-2026-3677 wurde in der Firmware des Tenda FH451 Routers entdeckt. Der Fehler ermöglicht es Angreifern aus der Ferne, einen Pufferüberlauf auszulösen und potenziell die Kontrolle über das Gerät zu erlangen. Ein öffentlicher Exploit ist bereits verfügbar, sodass das Risiko als hoch einzustufen ist. Betroffene Nutzer sollten umgehend ein Firmware-Update einspielen, sobald es vom Hersteller bereitgestellt wird. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-3677, CVE-2026-3678, CVE-2026-3679).

In der Open-Source-Subscription-Tracking-Software Wallos wurde vor Version 4.6.2 eine Server-seitige Request-Forgery-Schwachstelle in den Benachrichtigungstestern entdeckt. Der Patch in Version 4.6.2 behebt dieses Problem. Sysadmins sollten dringend auf die aktuellste Version updaten, um ihre Abonnenten-Daten vor unbefugtem Zugriff zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-31800) in Parse Server, einer Open-Source-Backend-Lösung, ermöglicht es Angreifern, interne Klassen wie _GraphQLConfig und _Audience über ungeschützte REST-API-Routen auszulesen, zu manipulieren und zu löschen. Dies umgeht die Master-Key-Authentifizierung, die eigentlich für diese Funktionen vorgesehen ist. Betroffen sind Parse Server-Versionen vor 9.5.2-alpha.12 und 8.6.25. Der Patch behebt dieses Problem.

Eine kritische Sicherheitslücke in der Monitoring-Software Oneuptime ermöglicht es Angreifern mit geringen Berechtigungen, beliebigen Code auf dem Oneuptime-Probe-Server auszuführen. Dies resultiert aus der unsicheren Ausführung von Untrusted-Code in der Node.js-Laufzeitumgebung, was den Zugriff auf Playwright-Browser- und Seitenobjekte erlaubt. Nutzer können die Schwachstelle ausnutzen, um eigene Schadsoftware auf dem System zu installieren. Das Problem betrifft Versionen vor 10.0.21 und wurde im neuesten Release behoben.

Eine kritische SQL-Injection-Schwachstelle im WordPress-Plugin "Ally" ermöglicht es Angreifern, ohne Authentifizierung auf sensible Daten in der Datenbank zuzugreifen. Das Plugin ist auf über 400.000 Websites im Einsatz. Der Hersteller hat das Problem in Version 4.1.0 behoben. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-2413, CVE-2026-0953).

Im BUK TS-G Tankstellenautomationssystem, Version 2.9.1, wurde eine kritische SQL-Injection-Schwachstelle im Systemkonfigurationsmodul entdeckt. Angreifer können damit beliebige SQL-Befehle ausführen und so auf sensible Daten zugreifen oder sogar Schadcode installieren. Der Hersteller Nefteprodukttekhnika muss dringend ein Sicherheitsupdate bereitstellen, um Systembetreiber vor dieser Sicherheitslücke zu schützen.

Eine Fehlkonfiguration in Janitzas Stromüberwachungssystemen ermöglicht es unbefugten Nutzern, über unzureichend geschützte Schnittstellen auf sensible Daten zuzugreifen. Diese Schwachstelle unterstreicht die Bedeutung einer korrekten Konfiguration und Zugangskontrolle, um potenzielle Ausnutzung zu verhindern und die Gerätesicherheit zu gewährleisten.