Tech Blog

Eine kritische Sicherheitslücke mit CVE-2026-5387 in AVEVA-Pipeline-Simulationssoftware ermöglicht es Angreifern, die Kontrolle über die Simulationen zu übernehmen. Betroffen sind Versionen mit einem Schweregrad von 9.3. Betroffene Unternehmen sollten dringend das entsprechende Sicherheitsupdate einspielen, um sich vor unbefugtem Zugriff zu schützen.

Eine Schwachstelle in Kata Containers vor Version 3.26.0 führt dazu, dass ein fehlerhaftes Container-Image den Host-Dateisystem-Takt durcheinander bringen kann. Ein Fallback-Mechanismus beim Starten des Containers verursacht Probleme beim Mounten des Rootfs, was Fehler auf Dateisystem-Ebene und sogar ein Read-Only-Mounting des Host-Blocks verursachen kann. Ein Patch in Version 3.26.0 behebt dieses Chaos.

Eine kritische Schwachstelle in der Telnet-Funktion des Tenda AX12 Pro V2 Routers ermöglicht das Auslesen von Zugangsdaten. Angreifer können die Lücke mit mittlerem Aufwand ausnutzen, da der Exploit öffentlich verfügbar ist. Betroffene Nutzer sollten dringend ein Firmware-Update installieren, um die Sicherheitslücke zu schließen.

In der vCluster-Plattform für Kubernetes-Cluster gab es bis zu den Versionen 4.6.0, 4.5.4, 4.4.2 und 4.3.10 eine kritische Sicherheitslücke (CVE-2026-22806). Nutzer konnten mit eingeschränkten Zugriffsrechten trotzdem auf Ressourcen außerhalb ihres Bereichs zugreifen. Die Entwickler haben das Problem in den genannten Versionen behoben. Bis zum Update können Administratoren die Exposition verringern, indem sie die Zugriffsrechte für Nutzer sorgfältig überprüfen und begrenzen.

Eine Sicherheitslücke in der github-kanban-mcp-server Software ermöglicht es Angreifern, ohne Authentifizierung beliebigen Schadcode auszuführen. Das Problem liegt in der unzureichenden Validierung des "create_issue"-Parameters, der für Remote-Code-Ausführung missbraucht werden kann. Betreiber sollten dringend ein Update installieren, sobald ein Patch verfügbar ist.

Eine kritische Sicherheitslücke (CVE-2026-22584) mit CVSS-Score 9.8 wurde in der Salesforce-Anwendung Uni2TS entdeckt. Die Schwachstelle ermöglicht Angreifern, Schadcode in nicht-ausführbaren Dateien einzuschleusen und auszuführen. Betroffen sind Windows-, Linux- und macOS-Systeme mit Uni2TS-Versionen bis einschließlich 1.2.0. Administratoren sollten umgehend ein Software-Update einspielen, um ihre Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke in Vault ermöglicht es einem authentifizierten Nutzer, Geheimnisse zu löschen, für die er eigentlich keine Zugriffsrechte hat. Zwar kann der Angreifer keine Geheimnisse über Namensräume hinweg lesen oder löschen, aber es droht ein Denial-of-Service durch unberechtigtes Löschen. Das Problem wurde in Vault Community Edition 2.0.0 und Vault Enterprise 2.0.0, 1.21.5, 1.20.10 und 1.19.16 behoben.

Eine kritische Sicherheitslücke (CVE-2026-25896) im XML-Parser "fast-xml-parser" erlaubt Angreifern, eingebaute XML-Entitäten zu überschreiben und somit plattformübergreifende Skriptausführung (XSS) zu ermöglichen. Das Problem betrifft Versionen von 4.1.3 bis vor 5.3.5 und wurde in der aktuellen Version 5.3.5 behoben. Administratoren sollten umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke in der Frigate-Netzwerkvideo-Rekorder-Software ermöglicht Angreifern die Ausführung von Systemkommandos. Das Problem betrifft die Integration mit go2rtc und wurde in Version 0.16.4 behoben. Administratoren, die ihre Frigate-Instanz öffentlich exponiert haben, sind besonders gefährdet. Eine Aktualisierung auf die patched Version 0.16.4 ist dringend empfohlen.

In der Verwaltungsoberfläche des UTT HiPER 810G Routers bis Version 1.7.7-171114 wurde eine kritische Pufferüberlauf-Schwachstelle im strcpy-Aufruf entdeckt. Angreifer können die Funktion formFireWall missbrauchen, um die Kontrolle über das Gerät zu erlangen. Obwohl der Hersteller rechtzeitig informiert wurde, gab es bislang keine Reaktion. Administratoren sollten dringend ein Sicherheitsupdate einspielen, sobald es verfügbar ist.