Tech Blog

In Horner Automation's Cscape-Software existiert eine kritische Sicherheitslücke, die es Angreifern mit Netzwerkzugriff zum SPS-System ermöglicht, schwache Passwörter per Brute-Force-Attacken zu knacken. Ursachen sind unzureichende Komplexitätsanforderungen und fehlende Eingabebegrenzungen. Dies kann zu unbefugtem Zugriff auf kritische Systeme und Dienste führen und die Betriebssicherheit massiv gefährden.

Eine kritische Authentifizierungsumgehung in Sparx Pro Cloud Server ermöglicht es unauthentifizierten Angreifern, beliebige SQL-Befehle gegen die Datenbank auszuführen. Dies kann zu unberechtigtem Zugriff auf sensible Daten, Datenmanipulation oder sogar zur vollständigen Kompromittierung der Datenbank führen. Anwender werden dringend aufgefordert, ihre Sicherheitsmaßnahmen zu überprüfen und die erforderlichen Updates zeitnah einzuspielen.

Das quelloffene SiYuan Knowledge Management System weist in Versionen 3.6.3 und älter eine kritische Sicherheitslücke auf, die Angreifern das Einschleusen von bösartigem JavaScript ermöglicht. Das Problem liegt in der fehlerhaften Darstellung von Mermaid-Diagrammen, bei denen Skript-URLs in den Ausgabetext gelangen können. In Electron-Umgebungen kann das sogar zu willkürlicher Codeausführung führen. Admins sollten dringend auf Version 3.6.4 aktualisieren, in der der Fehler behoben wurde.

Eine kritische Sicherheitslücke in Apache ActiveMQ Classic mit der CVE-ID CVE-2026-34197 (CVSS-Bewertung 8.8) wird laut der US-Cyberbehörde CISA aktiv ausgenutzt. Die Behörde hat die Schwachstelle daher in ihren Katalog bekannter, aktiv ausgebeuteter Sicherheitslücken aufgenommen, was für Bundesbehörden Handlungspflichten mit sich bringt. Admins sollten umgehend Aktualisierungen für Apache ActiveMQ installieren, um ihre Systeme vor Angriffen zu schützen.

In den Versionen 3.6.1 bis 3.6.3 des Open-Source-Persönlichen-Wissensmanagement-Systems SiYuan besteht eine Sicherheitslücke, die es Angreifern ermöglicht, über präparierte Bazaar-Pakete Schadcode auf dem System des Nutzers auszuführen. Der Fehler liegt in der unzureichenden Filterung von iframe-Tags und srcdoc-Attributen im HTML-Sanitizer. Das Problem wurde in Version 3.6.4 behoben.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-6359 wurde in Google Chrome vor Version 147.0.7727.101 entdeckt. Die Schwachstelle ermöglicht es einem Angreifer, der den Renderer-Prozess kompromittiert hat, über eine präparierte HTML-Seite auf den Arbeitsspeicher zuzugreifen. Chrome-Nutzer sollten dringend auf die neueste Version aktualisieren, um sich vor diesem High-Risk-Exploit zu schützen.

Eine kritische Schwachstelle in OpenAI Codex CLI ermöglicht Angreifern die Ausführung von beliebigem Schadcode. Dies geschieht durch manipulierte MCP-Konfigurationsdateien, die Codex beim Ausführen innerhalb eines kompromittierten Repositorys automatisch lädt. Betroffen sind Versionen bis 0.23.0. Sysadmins sollten dringend auf die neueste, gepatchtere Version aktualisieren.

Die Version von qmail vor 2026.04.07 ist von einer kritischen Sicherheitslücke betroffen, die Remote-Code-Ausführung ermöglicht. Die Schwachstelle liegt in der Funktion "notlshosts_auto" in der Datei "qmail-remote.c" und hängt mit der Verwendung von "popen" zusammen. Betreiber von qmail-Servern sollten dringend auf die aktuelle Version updaten, um diese Lücke zu schließen.

Eine logische Fehlkonstruktion in mehreren Funktionen der ffa.c-Datei führt zu möglicher Speicherkorrumpierung. Dies kann lokal zur Eskalation von Benutzerrechten ausgenutzt werden, ohne weitere Ausführungsberechtigungen zu benötigen. Für den Exploit ist keine Interaktion des Nutzers erforderlich.

Eine Schwachstelle in Jellyfin, einem Open-Source-Medienserver, ermöglicht es Angreifern, durch fehlerhafte Überprüfung der Live-TV-Tuner-Endpunkte lokal Dateien auszulesen und Server-seitige Anfrage-Fälschung (SSRF) durchzuführen. Dadurch können Angreifer die Datenbank des Servers auslesen und Administratorrechte erlangen. Das Problem betrifft Versionen vor 10.11.7 und kann durch Deaktivieren der Live-TV-Verwaltungsrechte für Nutzer oder durch ein Update behoben werden.