Tech Blog

In der Beta-Version 1.5.2-3 des ZimaOS, einer Abspaltung des CasaOS-Betriebssystems, wurde eine kritische Sicherheitslücke entdeckt. Obwohl die Anwendung Beschränkungen im Frontend implementiert, um Nutzer am Schreiben in interne OS-Pfade zu hindern, lassen sich diese über die API umgehen. Durch gezielt präparierte Anfragen können Angreifer Dateien oder Verzeichnisse in sensiblen Systemverzeichnissen wie /etc oder /usr erstellen, ohne dafür berechtigt zu sein. Die Ursache ist eine unzureichende Validierung der Zielpfade durch die API. Bislang ist kein offizieller Patch verfügbar.

Eine kritische Sicherheitslücke in den Versionen 4.12.0 und 4.12.1 des Hono-Webframework erlaubt es Angreifern, IP-basierte Zugriffskontrollen zu umgehen. Der Fehler tritt bei Verwendung des AWS Lambda-Adapters auf, wenn der "getConnInfo()"-Funktion die falsche IP-Adresse aus dem "X-Forwarded-For"-Header übergeben wird. Ein Patch in Version 4.12.2 behebt das Problem.

In Agenta-API vor Version 0.48.1 existierte eine Python-Sandbox-Escape-Lücke, die es authentifizierten Nutzern ermöglichte, die Sandbox zu umgehen und willkürlichen Code auf dem API-Server auszuführen. Das Problem wurde durch die fehlerhafte Aufnahme des `numpy`-Pakets in die Whitelist behoben. Später wurde die RestrictedPython-Sandbox komplett entfernt und durch ein anderes Ausführungsmodell ersetzt. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-27952, CVE-2026-27961).

Eine kritische Schwachstelle in Vitess, einem Datenbank-Clustering-System für MySQL, ermöglichte es Angreifern mit Zugriff auf den Backup-Speicher, Backup-Dateien so zu manipulieren, dass beim Wiederherstellen beliebiger Schadcode ausgeführt wird. Dies kann zu unberechtigtem Zugriff auf die Produktionsumgebung und der Ausführung weiterer Kommandos führen. Die Versionen 23.0.3 und 22.0.4 enthalten einen Patch. Workarounds sind möglich, indem externe Dekomprimierer-Tools verwendet werden.

In Parsec-Versionen vor 3.6.0 wurde keine Prüfung auf schwache Ordnungspunkte in Curve25519 durchgeführt. Angreifer in Man-in-the-Middle-Position können so die Diffie-Hellman-Schlüsselaustausch-Sitzung kompromittieren und den gemeinsamen Schlüssel erlangen. Parsec 3.6.0 behebt dieses kritische Sicherheitsproblem.

Eine kritische Schwachstelle in der Authentifizierung von WebSocket-Endpunkten in OCPP-Ladesäulen-Systemen ermöglicht es Angreifern, sich als autorisierte Ladesäulen auszugeben und Daten zu manipulieren. Ohne Authentifizierung können Angreifer Befehle an die Ladeinfrastruktur senden und so die Kontrolle über das Ladenetzwerk erlangen. Die Schwachstelle kann zu Datenverfälschung und unautorisiertem Zugriff führen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-20781, CVE-2026-24731, CVE-2026-27767).

Eine kritische Schwachstelle mit der CVE-ID CVE-2026-3379 wurde in der Firmware des Tenda F453 Router (Version 1.0.0.3) entdeckt. Die Verwundbarkeit betrifft die Funktion "fromSetIpBind" und führt zu einem Pufferüberlauf, der aus der Ferne ausgenutzt werden kann. Ein öffentlicher Exploit ist bereits bekannt, sodass Admins dringend ein Firmware-Update einspielen sollten, um ihre Router vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-3010) in Microchips TimePictra-Software ermöglicht Angreifern das Einschleusen von bösartigem Code in Web-Oberflächen. Dadurch können Vertraulichkeit und Integrität sensibler Daten kompromittiert werden. Betroffen sind Versionen 11.0 bis 11.3 SP2. Anwender sollten umgehend die empfohlenen Sicherheitsupdates einspielen, um sich vor dieser Bedrohung zu schützen.

Eine Sicherheitslücke in REB500 ermöglicht es einem authentifizierten Nutzer mit geringen Rechten, Verzeichnisinhalte über das DAC-Protokoll zu lesen und zu verändern, obwohl er dafür keine Berechtigung hat. Dies stellt ein hohes Sicherheitsrisiko dar, da Angreifer so auf sensible Daten zugreifen und Schaden anrichten können. Bis ein Patch verfügbar ist, sollten Administratoren den Zugriff auf das betroffene Gerät einschränken.

Die FUXA v1.2.7 Web-Applikation verwendet einen hart codierten Schlüssel zum Signieren und Verifizieren von JWT-Tokens. Dadurch können Angreifer gültige Admin-Tokens fälschen und so die vollständige administrative Kontrolle über das System erlangen. Betreiber sollten dringend ein Update auf eine nicht betroffene Version durchführen.