Fortinet, Ivanti und SAP schließen mehrere kritische Schwachstellen

Bei Fortinet betrifft das Update eine Schwachstelle zur Befehlsinjektion in der Weboberfläche von FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS. Die Lücke wird als CVE-2026-25089 geführt und hat einen CVSS-Wert von 9,1. Nach Angaben von Fortinet handelt es sich um eine unzureichende Neutralisierung von Sonderzeichen in Betriebssystembefehlen nach CWE-78. Ein nicht authentifizierter Angreifer könne dadurch über speziell präparierte HTTP-Anfragen unautorisierte Befehle ausführen.

Ivanti hat ebenfalls Korrekturen veröffentlicht, und zwar für zwei kritische Sicherheitslücken in Ivanti Sentry, dem früheren MobileIron Sentry. Zusätzliche Details zu CVE-2026-10520 stammen von watchTowr Labs. Demnach kann ein Angreifer die Schwachstelle mit einer speziell gestalteten HTTP-Anfrage an den Endpunkt “/mics/api/v2/sentry/mics-config/handleMessage” ausnutzen. Diese Anfrage werde anschließend als MICS-Konfigurationsbefehl interpretiert und von einer Backend-Komponente mit dem Namen „handleExecute()“ ausgeführt.

Laut Quelltext enthält Ivantis Patch zusätzliche Schutzmechanismen, die den Zugriff auf den verwundbaren Endpunkt blockieren. Nicht authentifizierte Anfragen werden dadurch auf die Anmeldeseite umgeleitet. Der Sicherheitsforscher Sonny Macdonald erklärte dazu, Ivanti habe nicht nur die Kontrolle von Angreifern über den verwundbaren Ausführungspfad entfernt, sondern auch eine zusätzliche Schutzschicht vorgeschaltet, die den Zugriff auf den Endpunkt deutlich erschwere. Anders gesagt: Es wurde eine Authentifizierung ergänzt.

SAP ergänzt die Liste mit vier kritischen Schwachstellen, für die Updates in NetWeaver AS ABAP und der ABAP Platform sowie in SAP Commerce Cloud und SAP Data Hub bereitgestellt wurden. Eine der beschriebenen Schwachstellen erlaubt es nach Angaben des SAP-Sicherheitsunternehmens Onapsis einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültig signierte Nachricht zu erhalten und anschließend veränderte signierte XML-Dokumente mit manipulierten Identitätsinformationen an den Prüfer zu senden.

Onapsis zufolge werden diese manipulierten Identitätsangaben aufgrund einer fehlerhaften Überprüfung von XML-Signaturen akzeptiert. Das führe zu unbefugtem Zugriff auf sensible Nutzerdaten und könne den normalen Systembetrieb beeinträchtigen. Eine weitere SAP-Schwachstelle, CVE-2026-27671, erlaubt es einem nicht authentifizierten Angreifer, eine präparierte RFC-Anfrage zu senden. Diese nutzt laut Quelltext aus, wie der SAP-Kernel das RFC-Protokoll validiert, und kann dadurch eine Speicherbeschädigung auslösen.

Für keine der genannten Schwachstellen gibt es dem Quelltext zufolge bislang Belege für eine Ausnutzung unter realen Bedingungen. Im Mittelpunkt der Meldung stehen damit die jetzt verfügbaren Sicherheitsupdates von Fortinet, Ivanti und SAP sowie die von Herstellern und Forschern beschriebenen technischen Details zu den Lücken.