Tech Blog

Eine kritische Sicherheitslücke im "All-in-One Microsoft 365 & Entra ID / Azure AD SSO Login"-Plugin für WordPress ermöglicht es unauthentifizierten Angreifern, sich als andere Nutzer, einschließlich Administratoren, anzumelden. Betroffen sind alle Versionen bis einschließlich 2.2.5. Ein Patch ist erforderlich, um diese Schwachstelle zu schließen.

Eine Sicherheitslücke in der WindowInfo.cpp-Komponente ermöglicht Angreifern, Nutzer durch Tapjacking/Overlay-Attacken dazu zu bringen, unbeabsichtigt Berechtigungen zu erteilen. Dies kann zu einer lokalen Eskalation der Rechte führen, ohne dass weitere Ausführungsrechte erforderlich sind. Eine Interaktion des Nutzers ist für die Ausnutzung der Schwachstelle nicht notwendig.

Das Simple Food Order System v1.0 ist von einer kritischen SQL-Injection-Schwachstelle in der Datei /food/routers/cancel-order.php betroffen. Angreifer können damit potenziell Daten auslesen oder sogar die Kontrolle über den Server erlangen. Ein Patch ist dringend empfohlen, bis dahin sollte die betroffene Komponente nicht öffentlich zugänglich sein.

Die Version 1.0 des "Simple Food Order System" ist anfällig für eine kritische SQL-Injection-Schwachstelle in der Datei "/food/view-ticket-admin.php". Angreifer können diese Lücke ausnutzen, um beliebigen SQL-Code auf dem Server auszuführen. Betreiber sollten dringend ein Update auf eine neuere, sicherere Version des Systems installieren, sobald dieses verfügbar ist.

Das Simple Food Order System v1.0 ist anfällig für eine kritische SQL-Injection-Schwachstelle in der Datei "/food/view-ticket.php". Angreifer können diese Lücke ausnutzen, um unbefugten Zugriff auf die Datenbank zu erlangen. Ein Patch ist dringend erforderlich, um die Sicherheit des Systems wiederherzustellen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-26711, CVE-2026-26710).

Eine kritische SQL-Injection-Schwachstelle in der Personalsoftware "sourcecodester Personnel Property Equipment System v1.0" ermöglicht es Angreifern, beliebigen SQL-Code auszuführen. Die Lücke betrifft die Datei "/ppes/admin/advance_search.php" und hat einen Schweregrad von 9.8. Administratoren sollten das System umgehend aktualisieren, sobald ein Patch verfügbar ist.

Eine kritische Sicherheitslücke in Chamilo Learning Management System vor Version 1.11.28 ermöglicht es Angreifern, beliebigen Schadcode remote auszuführen. Das Problem liegt in der unzureichenden Filterung von SOAP-Anfragen. Der Hersteller hat das Problem in Version 1.11.28 behoben, Anwender sollten schnell auf die aktuelle Version aktualisieren.

Forscher haben eine schwerwiegende Sicherheitslücke in Google Chrome entdeckt. Über diese Lücke konnten Angreifer mit böswilligen Erweiterungen ihre Rechte auf dem System ausweiten und auf lokale Dateien zugreifen. Google hat den Fehler im Januar 2026 behoben. Sysadmins sollten ihre Chrome-Installationen auf den aktuellen Stand bringen, um sich vor dieser Schwachstelle zu schützen.

Eine Sicherheitslücke in der MongoDB-Schnittstelle des SimStudio-Tools vor Version 0.5.74 ermöglicht es Angreifern, ohne Authentifizierung oder Hostbeschränkungen beliebige Verbindungsparameter zu übermitteln. Dies kann ausgenutzt werden, um auf jede zugängliche MongoDB-Instanz zuzugreifen und so kritische Daten unbefugt zu lesen, zu ändern oder zu löschen.

Laut Sicherheitsforschern von Akamai wurde die hochgefährliche Sicherheitslücke CVE-2026-21513 in Microsofts MSHTML-Framework möglicherweise von der russischen Hackergruppe APT28 ausgenutzt, bevor der Patch im Februar 2026 erschien. Die Schwachstelle ermöglicht das Umgehen von Sicherheitsmechanismen mit einer Bewertung von 8,8 auf der CVSS-Skala. Sicherheitsadministratoren sollten den Patch zeitnah einspielen, um Systeme vor Angriffen zu schützen.