Die kritischste der jetzt geschlossenen Lücken betrifft die ServiceNow AI platform. ServiceNow hat die Schwachstelle mit der Kennung CVE-2026-6875 als kritische Remote-Code-Execution-Lücke eingestuft, die sich ohne Authentifizierung ausnutzen lässt. Der CVSS-Wert liegt bei 9,5.
Nach Angaben des Unternehmens wurde die Schwachstelle durch ein Sicherheitsupdate auf gehosteten Instanzen behoben. Außerdem seien relevante Sicherheitsupdates auch für selbst gehostete ServiceNow-Kunden und Partner bereitgestellt worden. ServiceNow erklärte zudem, es habe keine Kenntnis von einer aktiven Ausnutzung der Lücke.
Ivanti veröffentlichte seinerseits Fehlerbehebungen für zwei Schwachstellen in Xtraction, dem eigenen Werkzeug zur Datenaggregation und Visualisierung. Die beiden Lücken werden als CVE-2026-14902 und CVE-2026-14903 geführt.
Dabei handelt es sich laut Ivanti um eine Schwachstelle mittlerer Schwere für Open Redirects sowie um eine Schwachstelle hoher Schwere für Path Traversal. Angreifer könnten Nutzer dadurch auf beliebige externe Adressen umleiten und beliebige Dateien außerhalb des Web-Root-Verzeichnisses lesen. Auch Ivanti teilte mit, dass dem Unternehmen keine Ausnutzung dieser Schwachstellen in freier Wildbahn bekannt sei.
Fortinet veröffentlichte am Dienstag 11 Sicherheitswarnungen, die insgesamt 12 Schwachstellen in einer breiten Produktpalette abdecken. Betroffen sind FortiOS, FortiProxy, FortiSASE, FortiSIEM, FortiClient EMS, FortiAuthenticator, FortiPAM, FortiSwitch Manager, FortiSwitch-Manager Agentless SSL-VPN und FortiSandbox.
Die schwerwiegendsten dieser Fortinet-Lücken sind nach Herstellerangaben zwei Schwachstellen hoher Schwere in FortiAuthenticator und FortiSandbox. Sie könnten von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden, um an sensible Informationen zu gelangen und auf den VNC-Server virtueller Maschinen zuzugreifen, die Scanvorgänge ausführen.
Darüber hinaus hat Fortinet weitere Schwachstellen mittlerer und niedriger Schwere behoben. Diese können zu Speicherlecks, Befehlsausführung, dem Einschleusen beliebiger Header, dem Abfangen und Verändern von Authentifizierungsanfragen, der Nachahmung eines AD Connector über einen gültigen API-Schlüssel, dem Löschen des Dateisystems sowie zur Codeausführung führen.
Anders als bei einzelnen aktiv ausgenutzten Zero-Day-Lücken nennen die Hersteller hier keine Hinweise auf laufende Angriffe. ServiceNow und Ivanti sagen ausdrücklich, dass ihnen keine Ausnutzung bekannt sei. Fortinet erwähnt ebenfalls nicht, dass eine der behobenen Schwachstellen bereits in Angriffen eingesetzt wurde.
