Tech Blog

Die Agentflow-Software des Herstellers Flowring weist eine kritische Schwachstelle auf, die es Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Durch eine fehlerhafte Dateiupload-Funktion können Hacker Webshell-Backdoors hochladen und damit die volle Kontrolle über das System erlangen. Betroffene Administratoren sollten dringend einen Patch vom Hersteller installieren, um die Sicherheitslücke zu schließen.

Eine schwerwiegende Sicherheitslücke in Apache Druid ermöglicht es Angreifern, sich ohne gültige Zugangsdaten Zugriff auf das System zu verschaffen. Das Problem tritt auf, wenn der integrierte LDAP-Authenticator verwendet und der LDAP-Server anonyme Verbindungen zulässt. Angreifer können dann einfach einen existierenden Nutzernamen mit leerem Passwort eingeben, um sich zu authentifizieren. Dies kann zu einem Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit der Druid-Umgebung führen.

Eine hochgefährliche SQL-Injection-Schwachstelle wurde in der Online-Reviewer-Software von Code-Projects identifiziert. Durch manipulierte Eingaben in der Datei /system/system/admins/assessments/pretest/btn_functions.php kann Remote-Code-Execution ausgeführt werden. Der Exploit ist öffentlich verfügbar und könnte jederzeit missbraucht werden. Admins sollten dringend ein Software-Update einspielen, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke im E-Taxpayer Accounting Website ermöglicht Angreifern die Ausführung von bösartigem JavaScript (Reflected XSS). Die Schwachstelle betrifft die Webapp bis einschließlich Version 07082025 und weist einen Schweregrad von 8.6 (Hoch) auf. Admins sollten umgehend ein Update einspielen, um ihre Systeme vor Angriffen zu schützen.

In Tenda RX3-Routern mit Version 16.03.13.11 wurde eine schwerwiegende Sicherheitslücke mit der CVE-ID CVE-2026-2180 entdeckt. Durch manipulierte Argumente in der Datei "/goform/fast_setting_wifi_set" kann ein stapelbasierter Puffer-Überlauf ausgelöst werden, der eine Fernsteuerung des Systems ermöglicht. Ein öffentlich verfügbarer Exploit ist bereits bekannt, sodass Administratoren dringend ein Sicherheitsupdate einspielen sollten, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-1686 wurde in der Version 5.9c.4959 des Totolink A3600R WLAN-Routers entdeckt. Die Schwachstelle ermöglicht durch Manipulation des Argumentes "apcliSsid" einen Puffer-Überlauf, der aus der Ferne ausgenutzt werden kann. Ein Exploit ist bereits öffentlich verfügbar und kann für Angriffe verwendet werden. Betroffene Nutzer sollten zeitnah ein Firmware-Update einspielen, sobald es vom Hersteller bereitgestellt wird. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-1686, CVE-2026-2225, CVE-2025-67186).

Eine kritische Schwachstelle in Fortinet FortiClientEMS 7.4.4 ermöglicht es unauthentifizierten Angreifern, über speziell präparierte HTTP-Anfragen beliebigen Schadcode auszuführen. Das Problem resultiert aus einer unzureichenden Bereinigung von SQL-Sonderzeichen. Admins sollten dringend das Update auf die neueste Version installieren, um die Systeme vor Angriffen zu schützen.

Eine kritische SQL-Injektions-Schwachstelle in der Sicherheitssoftware "ZEUS PDKS" des Herstellers Ergosis Security Systems erlaubt es Angreifern, beliebige SQL-Befehle auszuführen. Das Problem betrifft alle Versionen vor 10022026. Der Hersteller reagierte bislang nicht auf die Offenlegung der Schwachstelle.

Die GitHub Action "Super-Linter" ist von Version 6.0.0 bis 8.3.0 anfällig für Befehlsinjektionen durch präparierte Dateinamen. Angreifer können in betroffen Workflows beliebige Befehle ausführen und so den GITHUB_TOKEN stehlen. Die Lücke wurde in Version 8.3.1 geschlossen.

Eine Sicherheitslücke im Content-Management-System von Sarman Soft ermöglicht es Angreifern, Authentifizierungskontrollen zu umgehen und beliebigen Code auszuführen. Die Schwachstelle mit der Kennung CVE-2025-6967 wird als "Hoch" eingestuft und sollte dringend geschlossen werden.