Im Zentrum der aktuellen Patch-Welle steht eine kritische Schwachstelle in Ivanti Xtraction. CVE-2026-8043 erreicht einen CVSS-Wert von 9,6 und kann zur Offenlegung sensibler Informationen oder zu clientseitigen Angriffen führen. Nach Angaben von Ivanti ermöglicht die externe Kontrolle eines Dateinamens in Versionen vor 2026.2 einem entfernten, authentifizierten Angreifer, vertrauliche Dateien zu lesen und beliebige HTML-Dateien in ein Web-Verzeichnis zu schreiben – mit der Folge möglicher Informationspreisgabe und clientseitiger Attacken.

Fortinet veröffentlichte Sicherheitshinweise zu zwei kritischen Schwachstellen. Sie betreffen FortiAuthenticator sowie FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS und können zur Ausführung von Code führen.

Auch SAP lieferte Korrekturen für zwei kritische Schwachstellen. Zu CVE-2026-34263 erklärte Onapsis, die Ursache liege in einer zu freizügigen Sicherheitskonfiguration mit fehlerhafter Regelreihenfolge. Dadurch könne ein nicht authentifizierter Nutzer eine schädliche Konfiguration hochladen und Code einschleusen, was zur Ausführung von beliebigem serverseitigem Code führe. Die zweite Lücke, CVE-2026-34260, erlaubt das Einschleusen von schädlichem SQL-Code. Laut Pathlock kann ein authentifizierter Angreifer mit geringen Rechten über manipulierbare Eingaben Schadcode einbringen, sensible Datenbankinformationen offenlegen und die Anwendung zum Absturz bringen. Da der betroffene Code nur lesenden Zugriff erlaubt, bleibt die Integrität der Anwendung unangetastet; betroffen sind Vertraulichkeit und Verfügbarkeit.

Broadcom schloss eine als hoch eingestufte Schwachstelle in VMware Fusion. CVE-2026-41702 mit einem CVSS-Wert von 7,8 ermöglicht eine lokale Rechteausweitung und wurde in Version 26H1 behoben. Nach Darstellung von Broadcom handelt es sich um eine TOCTOU-Schwachstelle (Time-of-check Time-of-use), die während eines Vorgangs eines SETUID-Programms auftritt. Ein Angreifer mit lokalen, nicht administrativen Rechten könne sie ausnutzen, um seine Berechtigungen auf dem System mit installiertem Fusion bis zur Root-Ebene auszuweiten.

Den Abschluss der Liste bildet eine Reihe von fünf kritischen Schwachstellen in n8n. Darüber hinaus haben weitere Anbieter in den vergangenen Wochen Sicherheitsupdates gegen verschiedene Schwachstellen veröffentlicht.