Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-41225

8,6 HIGH CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft die REST-Programmierschnittstelle iControl. Der Defekt liegt in der Verwaltung von Konfigurationsobjekten: Ein bereits angemeldeter Angreifer mit weitreichenden Rechten – mindestens der Manager-Rolle – kann Konfigurationsobjekte so anlegen, dass darüber beliebige Systembefehle ausgeführt werden. Aus einer eigentlich auf Konfiguration beschränkten Berechtigung wird auf diese Weise die Möglichkeit, eigenen Code auf dem System laufen zu lassen. Voraussetzung ist ein vorhandenes, hoch privilegiertes Konto; ohne Anmeldung lässt sich die Lücke nicht ausnutzen. Kritisch ist sie dort, wo mehrere Verwaltungskonten mit Manager-Rolle existieren oder solche Zugangsdaten in falsche Hände geraten, denn ein Angreifer kann damit die Grenze zwischen bloßer Verwaltung und vollständiger Kommandoausführung überschreiten und so die Kontrolle über das betroffene System ausweiten.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln