CyberDeutsch Nachrichten

CVE-2026-9893

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in Skia, der Grafikbibliothek von Google Chrome, die für die Darstellung von Web-Inhalten zuständig ist. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Ein solcher Zustand lässt sich gezielt manipulieren, um den Programmablauf zu beeinflussen. Ausnutzen kann den Fehler ein entfernter Angreifer, der bereits zuvor den Renderer-Prozess des Browsers unter seine Kontrolle gebracht hat – also den Teil, der Webseiten verarbeitet und normalerweise streng abgeschottet (in einer Sandbox) läuft. Über eine eigens präparierte HTML-Seite kann er aus dieser Sandbox ausbrechen und so die Schutzschranke überwinden, die den Renderer vom restlichen System trennt. Der Fehler dient damit als zweiter Baustein einer Angriffskette: Er erweitert einen bereits erlangten Zugriff im Browser zu einem tiefergehenden Zugriff auf das System.

CVE-2026-9876

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome auf Android. WebGL ist die Browserfunktion zur hardwarebeschleunigten Darstellung von 3D-Grafik im Webinhalt. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der bereits freigegeben wurde, sodass dieser inzwischen mit anderem, vom Angreifer kontrolliertem Inhalt belegt sein kann. Ausgelöst wird der Defekt aus der Ferne über eine eigens präparierte HTML-Seite – das bloße Aufrufen einer solchen Seite genügt, eine zusätzliche Interaktion des Opfers ist nicht erforderlich. Gelingt die Ausnutzung, kann der Angreifer aus der Sandbox ausbrechen, also aus der abgeschotteten Umgebung, in der der Browser Webinhalte vom übrigen System trennt. Damit fällt eine zentrale Schutzbarriere, und der Angreifer kann über die Grenzen des Browsers hinaus auf das Gerät einwirken. Betroffen sind Nutzer von Chrome auf Android-Geräten.

CVE-2026-9875

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome auf Android. WebGL ist die Browser-Schnittstelle, über die Webseiten Grafik direkt auf der Grafikhardware des Geräts berechnen lassen. Hier kommt es zu einem Lesezugriff außerhalb der vorgesehenen Speichergrenzen: Beim Verarbeiten entsprechend präparierter Grafikdaten liest die Komponente Speicherbereiche aus, die eigentlich nicht für sie bestimmt sind. Ausgelöst wird der Fehler aus der Ferne allein dadurch, dass das Opfer eine vom Angreifer manipulierte HTML-Seite öffnet – eine weitergehende Interaktion ist nicht nötig. In der Folge kann ein Angreifer aus dem normalerweise streng abgeschotteten Browserprozess ausbrechen (Sandbox-Escape) und damit die Schutzschicht überwinden, die Webinhalte vom übrigen System trennen soll. Betroffen sind Android-Geräte, auf denen Google Chrome zum Surfen verwendet wird; dort genügt der Besuch einer einzigen bösartigen Webseite als Angriffsweg.

CVE-2026-9874

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in Dawn, einer Grafik-Komponente des Webbrowsers Google Chrome, die Webinhalten den Zugriff auf die Grafikhardware vermittelt. Es handelt sich um einen Use-after-free-Fehler: Das Programm verwendet einen Speicherbereich weiter, der zuvor bereits freigegeben wurde. Auslösen lässt sich der Defekt aus der Ferne über eine präparierte HTML-Seite – es genügt, dass das Opfer mit dem Browser eine entsprechend gestaltete Website öffnet. Gelingt die Ausnutzung, kann ein Angreifer aus der Browser-Sandbox ausbrechen. Diese Sandbox ist die Schutzschicht, die den vom Browser verarbeiteten Webcode vom übrigen System abschottet. Wird sie überwunden, kann der Angreifer die isolierende Barriere umgehen und tiefer auf das System des Opfers zugreifen. Betroffen sind Nutzer des Chrome-Browsers, die eine manipulierte Webseite aufrufen.

CVE-2026-9872

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der GPU-Komponente des Webbrowsers Google Chrome auf Android. Es handelt sich um einen Schreibzugriff außerhalb der vorgesehenen Speichergrenzen (Out-of-bounds Write): Beim Verarbeiten bestimmter Inhalte schreibt der Browser über den eigentlich zulässigen Speicherbereich hinaus. Auslösen lässt sich der Fehler aus der Ferne, indem das Opfer eine eigens präparierte HTML-Seite öffnet – ein Besuch der manipulierten Seite genügt, eine weitergehende Interaktion ist nicht nötig. Gelingt die Ausnutzung, kann ein entfernter Angreifer aus der Sandbox des Browsers ausbrechen. Diese Sandbox kapselt Web-Inhalte normalerweise vom restlichen System ab; ihr Durchbrechen hebt eine zentrale Schutzschicht auf und eröffnet dem Angreifer einen weitergehenden Zugriff auf das Gerät. Betroffen ist die Android-Version von Chrome.

CVE-2026-9648

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Haskell-Bibliothek crypton-x509-validation, die für die Prüfung von X.509-Zertifikaten zuständig ist. Der Defekt: Die Bibliothek setzt die sogenannten NameConstraints nicht durch – also jene Einschränkungen, die festlegen, für welche Namensbereiche eine untergeordnete Zertifizierungsstelle (Sub-CA) überhaupt Zertifikate ausstellen darf. Dadurch akzeptieren TLS-Clients, die diese Bibliothek nutzen, auch Zertifikate, deren Subject Alternative Names außerhalb des für die ausstellende CA erlaubten Bereichs liegen. Ausnutzen lässt sich das von einem Angreifer, der eine namensbeschränkte Sub-CA unter seine Kontrolle bringt: Da die Beschränkung clientseitig ignoriert wird, kann er gültig erscheinende Zertifikate für beliebige Domains ausstellen und sich so als fremde Dienste ausgeben, die eigentlich gar nicht in den Zuständigkeitsbereich der kompromittierten Sub-CA fallen. Das untergräbt die Vertrauenskette von TLS und öffnet die Tür für Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen.

CVE-2026-9560

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die VPN-Software OpenVPN Connect unter macOS, genauer den im Hintergrund laufenden Systemdienst der Anwendung. Dieser Dienst arbeitet mit erhöhten Rechten und nimmt Anweisungen über einen lokalen Kommunikationskanal (IPC) entgegen. Weil dieser Kanal nicht ausreichend abgesichert ist, kann ein Angreifer, der bereits über einen lokalen Zugang zum Rechner verfügt, eigene Befehle an den Dienst übergeben. Diese werden dann mit den höheren Rechten des Dienstes ausgeführt, sodass der Angreifer seine ursprünglich eingeschränkten Benutzerrechte auf eine privilegierte Ebene ausweiten kann. Es handelt sich somit um eine lokale Rechteausweitung: Der Angriff erfordert keinen Zugriff aus dem Netz, sondern setzt voraus, dass der Angreifer bereits auf dem betroffenen Mac aktiv ist – etwa durch ein zuvor übernommenes Benutzerkonto. Im Ergebnis erlangt er weitreichende Kontrolle über das System.

CVE-2026-9312

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft GitHub Enterprise Server und ist eine Server-Side Request Forgery (SSRF). Sie sitzt in einem Upload-Endpunkt, der eingehende Eingaben nicht ausreichend prüft. Ein Angreifer kann sie aus der Ferne und ohne vorherige Anmeldung ausnutzen: Indem er präparierte Anfragen stellt und in die Anfrageparameter Inhalte zur Pfadmanipulation (Path Traversal) einschleust, umgeht er den vorgesehenen Anfrageablauf und lenkt interne API-Aufrufe um. Auf diesem Weg bringt er den Server dazu, in seinem Namen Anfragen an interne, eigentlich nicht von außen erreichbare Dienste zu richten. Dadurch kann er auf interne Systeme zugreifen und vertrauliche Zugangsdaten offenlegen, die dort hinterlegt sind. Besonders kritisch ist, dass weder gültige Anmeldedaten noch eine Benutzerinteraktion nötig sind und der Angriff über eine reguläre Upload-Funktion erfolgt. Betroffen ist die selbst betriebene Server-Variante; die Schwachstelle wurde über das Bug-Bounty-Programm des Herstellers gemeldet.

CVE-2026-9256

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt im Rewrite-Modul von NGINX Plus und NGINX Open Source – also in der Funktion, mit der NGINX eingehende Anfrage-Adressen anhand von Mustern umschreibt. Sie tritt auf, wenn eine Rewrite-Regel ein Suchmuster mit mehreren eigenständigen, sich überlappenden Klammer-Erfassungen verwendet und der Ersetzungstext gleich mehrere dieser erfassten Teile zusammenzieht, sofern dies in einer Weiterleitung oder im Argument-Kontext geschieht. Ein nicht angemeldeter Angreifer kann den Fehler aus der Ferne mit gezielt präparierten HTTP-Anfragen auslösen, allerdings müssen dafür zusätzliche, nicht von ihm selbst beeinflussbare Bedingungen erfüllt sein. Gelingt der Angriff, kommt es zu einem Speicherüberlauf im Arbeitsprozess von NGINX, der daraufhin neu startet – der Dienst fällt also kurzzeitig aus. Auf Systemen, bei denen die Speicherverwürfelung (ASLR) abgeschaltet ist oder vom Angreifer umgangen werden kann, lässt sich der Fehler darüber hinaus zur Ausführung von eigenem Code missbrauchen.

CVE-2026-9111

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle ist ein Use-after-Free-Fehler in der WebRTC-Komponente von Google Chrome unter Linux. WebRTC ist der im Browser eingebaute Baustein für Echtzeitkommunikation wie Video- und Sprachanrufe direkt im Browser. Bei einem Use-after-Free greift das Programm auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde; ein Angreifer kann diesen Zustand gezielt herbeiführen und den freigewordenen Speicher mit eigenen Daten belegen. Ausnutzbar ist der Fehler aus der Ferne: Es genügt, dass das Opfer eine vom Angreifer präparierte HTML-Seite öffnet. Dadurch kann der Angreifer beliebigen Code auf dem System des Opfers ausführen und so die Kontrolle über den betroffenen Rechner erlangen. Betroffen ist die Linux-Variante des Browsers. Da ein bloßer Seitenaufruf zur Auslösung reicht, ist der Angriffsweg für Drive-by-Angriffe über manipulierte oder kompromittierte Webseiten besonders geeignet.

CVE-2026-9110

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft den Webbrowser Google Chrome unter Windows und beruht auf einer fehlerhaften Umsetzung in der Benutzeroberfläche. Ausnutzbar ist sie durch einen Angreifer aus der Ferne, der zuvor bereits den Renderer-Prozess des Browsers unter seine Kontrolle gebracht hat – also jenen Teil, der Webinhalte verarbeitet und darstellt. Auf dieser Grundlage kann er über eine eigens präparierte HTML-Seite die Anzeige der Benutzeroberfläche manipulieren und Inhalte vortäuschen, die nicht der Wirklichkeit entsprechen (UI-Spoofing). Auf diese Weise lassen sich dem Nutzer falsche Oberflächenelemente vorspiegeln, etwa um über die tatsächliche Herkunft einer Seite oder über sicherheitsrelevante Anzeigen zu täuschen. Voraussetzung ist allerdings die vorherige Kompromittierung des Renderer-Prozesses, sodass die Lücke typischerweise als Teil einer Angriffskette zum Tragen kommt.

CVE-2026-9098

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt im SAML-Anmeldeverfahren von Casdoor, genauer im Verarbeiten der Antwort, die der Identitätsanbieter (IdP) nach erfolgter Anmeldung zurücksendet. Der zuständige Handler akzeptiert jede formal korrekte SAML-Antwort, ohne zu prüfen, ob sie zu einer zuvor von Casdoor selbst gestellten Authentifizierungsanfrage gehört. Hinzu kommt: Wird ein Identitätsanbieter mitten im Anmeldevorgang deaktiviert oder gelöscht, arbeitet der Handler dennoch mit dem zu Beginn geladenen Abbild dieses Anbieters weiter. Dadurch kann ein Angreifer, der einen registrierten vorgelagerten Identitätsanbieter kontrolliert, unaufgeforderte SAML-Antworten einschleusen oder eine zuvor abgefangene, legitime Antwort in einer anderen Sitzung oder nach Abschluss des ursprünglichen Vorgangs erneut einspielen. In beiden Fällen nimmt Casdoor die Antwort an und richtet eine gültige Sitzung ein. So verschafft sich der Angreifer dauerhaften, unautorisierten Zugang zu Konten und damit zu den über Casdoor abgesicherten Anwendungen.

CVE-2026-9090

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Authentifizierungs- und Identitätsverwaltungssoftware Casdoor, konkret deren Verarbeitung von SAML-Anmeldungen. SAML ist ein Verfahren, mit dem ein vertrauenswürdiger Identitätsanbieter einem Dienst bestätigt, wer ein Benutzer ist; diese Bestätigung wird mit einem digitalen Zertifikat signiert. Der Fehler liegt in der Funktion, die das zur Prüfung verwendete Zertifikat aufbaut: Statt das vorab konfigurierte und damit vertrauenswürdige Zertifikat des Identitätsanbieters heranzuziehen, entnimmt Casdoor das X.509-Zertifikat unmittelbar der eingehenden SAML-Antwort. Damit prüft die Software die Signatur gegen einen Schlüssel, den der Absender selbst mitliefert. Ein Angreifer kann deshalb eine Anmeldebestätigung fälschen, sie mit einem selbst kontrollierten Schlüssel signieren und ein passendes Zertifikat beilegen. Auf diese Weise lässt sich die Authentifizierung vollständig umgehen und eine beliebige Identität vortäuschen, ohne gültige Zugangsdaten zu besitzen.

CVE-2026-9089

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt im ConnectWise Automate Agent, der Verwaltungssoftware, die auf den überwachten Endgeräten installiert wird. Der Agent prüft die Echtheit von Komponenten nicht vollständig, die er beim Laden von Plug-ins und bei seinen eigenen Selbstaktualisierungen bezieht. Mit anderen Worten: Bevor der Agent zusätzlichen Code in Form eines Plug-ins nachlädt oder sich selbst auf einen neueren Stand bringt, stellt er nicht zuverlässig sicher, dass die bezogenen Bestandteile tatsächlich vom legitimen Hersteller stammen und unverändert sind. Gelingt es einem Angreifer, sich an dieser Stelle einzuklinken und untergeschobene Komponenten als echt erscheinen zu lassen, kann er manipulierten Code in den Agenten einschleusen, der dann auf dem betroffenen System ausgeführt wird. Da der Agent zur Fernverwaltung dient und üblicherweise mit weitreichenden Rechten läuft, kann eine solche Manipulation dem Angreifer Kontrolle über das verwaltete Gerät verschaffen.

CVE-2026-8889

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Securly-Erweiterung für den Chrome-Browser, die als Jugendschutz- und Filterlösung Webadressen mit hinterlegten Sperrlisten abgleicht. Für diesen Abgleich – sowohl beim Erkennen von Adressen mit Darstellungen sexuellen Kindesmissbrauchs (IWF-CSAM-Liste) als auch beim Abgleich gegen die CIPA-Sperrliste – verwendet die Erweiterung das Hashverfahren SHA-1. Dieses Verfahren gilt als veraltet und kryptografisch geschwächt, weil sich gezielt Kollisionen erzeugen lassen, also unterschiedliche Eingaben mit identischem Hashwert. Dadurch kann der Listenabgleich unterlaufen werden: Eine Adresse lässt sich so gestalten, dass sie an der Prüfung vorbeikommt, oder die Zuordnung von Hashwerten zu gesperrten Inhalten wird unzuverlässig. Im Ergebnis kann die Filterfunktion umgangen oder ausgehebelt werden, sodass eigentlich zu blockierende Inhalte erreichbar bleiben. Betroffen sind Umgebungen, in denen diese Browser-Erweiterung zur Inhaltsfilterung eingesetzt wird.

CVE-2026-8888

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Securly Chrome Extension, einer Browser-Erweiterung. Die Erweiterung lädt ihre Konfigurationsdatei unverschlüsselt über HTTP herunter und übernimmt aus dieser Datei vom Server gelieferte Muster, die sie ohne jede Prüfung auf ihre Komplexität als reguläre Ausdrücke in JavaScript verarbeitet. Weil die Übertragung ungeschützt ist, kann ein Angreifer, der sich in der Netzwerkstrecke zwischen Erweiterung und Server befindet, die ausgelieferte Konfiguration manipulieren. Er schleust eigens präparierte Muster ein, die beim Auswerten ein sogenanntes katastrophales Backtracking auslösen – also einen extrem rechenintensiven Verarbeitungsvorgang. Dadurch wird der Browser bei jedem Surfvorgang lahmgelegt, sodass kein normales Arbeiten mit der Webnavigation mehr möglich ist. Der Angriff zielt nicht auf das Ausspähen von Daten, sondern auf eine Lähmung der Funktion: Betroffen sind alle Nutzer der Erweiterung, deren Datenverkehr ein Angreifer auf dem Übertragungsweg beeinflussen kann.

CVE-2026-8881

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Securly-Erweiterung für den Chrome-Browser. Zum Verschlüsseln von Daten mit dem AES-Verfahren leitet die Erweiterung den geheimen Schlüssel auf eine veraltete und unsichere Weise aus einem Ausgangswert ab: Sie verwendet das Verfahren EVP_BytesToKey in Verbindung mit der Hash-Funktion MD5 und durchläuft dabei nur einen einzigen Rechendurchgang. Beide Entscheidungen schwächen den Schutz erheblich. MD5 gilt seit Langem als gebrochen und bietet keine verlässliche kryptografische Sicherheit mehr. Der Verzicht auf mehrere Wiederholungen bei der Schlüsselableitung bedeutet zudem, dass keine sogenannte Schlüsselstreckung stattfindet – ein Verfahren, das das Erraten oder Durchprobieren des zugrunde liegenden Geheimnisses gezielt verlangsamen soll. In der Folge lässt sich der abgeleitete Schlüssel mit deutlich geringerem Aufwand rekonstruieren, wodurch ein Angreifer die mit AES geschützten Daten leichter entschlüsseln kann. Betroffen sind Anwender, die diese Browser-Erweiterung einsetzen.

CVE-2026-8879

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Securly Chrome Extension, eine Browser-Erweiterung für Google Chrome. Die Erweiterung registriert zur Laufzeit über die Chrome-Scripting-Schnittstelle dynamisch ein zusätzliches Inhaltsskript (Content Script). Dieses Skript ist nicht in der Manifest-Datei der Erweiterung deklariert und umgeht damit die statische Sicherheitsprüfung des Chrome Web Store, bei der Erweiterungen vor der Veröffentlichung untersucht werden. Das nachgeladene Skript läuft auf sämtlichen aufgerufenen Webseiten: Es blendet unmittelbar den gesamten Seiteninhalt aus, legt eine bildschirmfüllende Überlagerung über die Seite, hält alle Videos an und gibt den Inhalt erst dann wieder frei, wenn der Hintergrunddienst (Service Worker) bestätigt, dass die Seite die Filterprüfung besteht. Problematisch ist die Abhängigkeit von der Server-Anbindung: Sind die Server von Securly nicht erreichbar, bleiben die betroffenen Seiten dauerhaft verborgen, sodass der Nutzer keine Inhalte mehr angezeigt bekommt.

CVE-2026-8878

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Securly Chrome Extension, eine Browser-Erweiterung. Die Erweiterung stellt mehrere öffentlich erreichbare Schnittstellen (Endpunkte) bereit, auf die ohne jede Anmeldung zugegriffen werden kann. Über diese Endpunkte werden sensible Daten preisgegeben: konkret SHA-1-Hashwerte. Diese Hashes sind nur unzureichend verschleiert, nämlich mit einer einfachen Caesar-Verschiebung, bei der jedes Zeichen lediglich um eine feste Stelle verschoben wird. Eine solche Verschleierung lässt sich trivial rückgängig machen, sodass ein Angreifer die ursprünglichen Hashwerte mühelos wiederherstellen und damit auf die eigentlich geschützten Daten zugreifen kann. Da die Endpunkte ohne Authentifizierung offenstehen, genügt der bloße Aufruf, um an die Informationen zu gelangen – es sind weder Zugangsdaten noch besondere Rechte erforderlich. Betroffen sind die durch diese Hashes geschützten Daten der Nutzer der Erweiterung.

CVE-2026-8876

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Securly-Erweiterung für den Browser Chrome. In deren ausgelieferter, zusammengefasster JavaScript-Datitei (securly.min.js) sind AES-Schlüssel fest einkodiert und liegen dort im Klartext vor – jeder, der die Erweiterung installiert hat, kann diese Passphrasen also unmittelbar aus dem Programmcode auslesen. Mit diesen Schlüsseln lassen sich verschlüsselte Inhalte der Erweiterung entschlüsseln, konkret die Stichwortlisten für die Erkennung von Krisensituationen sowie die Daten zu Interventionsseiten. Ein Angreifer erhält dadurch Einblick in eigentlich geschützte Steuerungsdaten der Schutzfunktion: Er erfährt, auf welche Schlüsselwörter die Erweiterung anschlägt und welche Seiten als kritisch behandelt werden. Dieses Wissen erlaubt es, die Erkennungs- und Schutzmechanismen gezielt zu umgehen. Da die Schlüssel statisch im Code stehen, sind sie über alle Installationen hinweg identisch.

CVE-2026-8874

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Securly Chrome Extension, einer Browser-Erweiterung. Die Erweiterung lädt JSON-Dateien herunter, die Schlüsselwörter für Krisenwarnungen sowie Filterregeln enthalten – allerdings über eine unverschlüsselte HTTP-Verbindung mittels der Fetch-API. Da diese Daten im Klartext übertragen werden, kann ein Angreifer, der sich in der Netzwerkverbindung befindet (etwa in einem gemeinsam genutzten WLAN), den Datenverkehr mitlesen und vor allem manipulieren: Er kann die übertragenen Warn-Schlüsselwörter und Filterregeln verändern oder austauschen, bevor sie die Erweiterung erreichen. Damit lassen sich die Schutz- und Warnfunktionen der Erweiterung gezielt aushebeln. Besonders auffällig ist die uneinheitliche Umsetzung der Transportverschlüsselung: Andere Endpunkte derselben Erweiterung rufen vergleichbare Daten korrekt über das verschlüsselte HTTPS ab. Gerade dieser eine Abruf bleibt jedoch ungesichert und bildet so die Schwachstelle.

CVE-2026-8863

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft mehrere Microsoft-signierte UEFI-SHIM-Bootloader. Der SHIM ist eine kleine Vorstufe des Startvorgangs, die unter Secure Boot dafür sorgt, dass nur vertrauenswürdiger, signierter Code geladen wird. In den betroffenen Bootloadern lässt sich dieser Schutzmechanismus umgehen: Ein Angreifer, der bereits über administrative Rechte verfügt oder den Startvorgang manipulieren kann, kann einen der verwundbaren SHIM-Bootloader nutzen, um die Secure-Boot-Prüfung auszuhebeln und eigenen Code auszuführen, noch bevor das Betriebssystem geladen wird. Damit nistet sich Schadcode auf einer sehr frühen und tief liegenden Ebene des Systemstarts ein, wo er den später startenden Schutzmechanismen des Betriebssystems entzogen ist und nur schwer zu erkennen oder zu entfernen ist. Um die angreifbaren Bootloader wirksam zu blockieren, muss die UEFI-Sperrliste (DBX) entsprechend aktualisiert werden, damit diese Komponenten nicht mehr ausgeführt werden dürfen.

CVE-2026-8732

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft das WordPress-Plugin WP Maps Pro. Sie erlaubt eine Rechteausweitung, indem ein Angreifer ein neues Administratorkonto anlegt. Ursache ist eine als öffentlich zugänglich registrierte AJAX-Aktion (wpgmp_temp_access_ajax), die auch ohne Anmeldung aufgerufen werden kann und nur durch eine Nonce-Prüfung abgesichert ist. Diese Nonce wird jedoch auf jeder öffentlichen Seite des Frontends im Quelltext mitgeliefert und ist damit für jeden einsehbar – die Prüfung taugt deshalb nicht als Zugangskontrolle. Dadurch kann ein nicht angemeldeter Angreifer aus der Ferne den zuständigen Handler aufrufen und so eine Prüfung umgehen, die das Anlegen eines temporären Zugangs verhindern soll. Es wird bedingungslos ein neuer Benutzer mit fest vorgegebener Administratorrolle erzeugt. Zurückgeliefert wird zudem eine spezielle Anmelde-URL: Wird sie aufgerufen, ist der Angreifer als frisch erstellter Administrator vollständig angemeldet. Im Ergebnis kann er die betroffene Website vollständig übernehmen.

CVE-2026-8711

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft das NGINX-JavaScript-Modul, mit dem sich der Webserver NGINX um eigene JavaScript-Logik erweitern lässt. Sie tritt auf, wenn die Direktive js_fetch_proxy mit mindestens einer durch den Client beeinflussbaren NGINX-Variable konfiguriert ist – also etwa mit Werten, die direkt aus dem HTTP-Header, einem Anfrageparameter oder einem Cookie stammen – und gleichzeitig an dieser Stelle die Fetch-Operation des JavaScript-Moduls aufgerufen wird. Ein Angreifer kann den manipulierbaren Anteil der Anfrage gezielt präparieren und so einen Heap-Pufferüberlauf im NGINX-Worker-Prozess auslösen. Ausnutzbar ist das aus der Ferne und ohne vorherige Anmeldung, allein durch das Senden entsprechend gestalteter HTTP-Anfragen. In der Folge stürzt der betroffene Worker-Prozess ab und startet neu, was den Dienst stört. Unter Umständen geht der Schaden darüber hinaus: Ist der Speicherschutz ASLR deaktiviert oder kann der Angreifer ihn umgehen, lässt sich der Überlauf auch zur Ausführung von eigenem Code missbrauchen.

CVE-2026-8633

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Web Server Plug-ins von IBM für den WebSphere Application Server sowie WebSphere Liberty. Diese Plug-ins binden einen Webserver an den Anwendungsserver an und leiten eingehende Anfragen an ihn weiter. Über eine speziell präparierte Anfrage kann ein Angreifer eine Schwäche in der Verarbeitung durch die Plug-ins ausnutzen und auf dem betroffenen System aus der Ferne beliebigen Programmcode ausführen. Damit erlangt er die Möglichkeit, eigene Befehle auf dem Server auszuführen und so die Kontrolle über die betroffene Komponente zu übernehmen. Da die Plug-ins typischerweise am Übergang zwischen Webserver und Anwendungsserver sitzen und Anfragen aus dem Netz entgegennehmen, sind sie ein exponierter Angriffspunkt: Wo der vorgelagerte Webserver erreichbar ist, lässt sich die manipulierte Anfrage unmittelbar einschleusen. Betroffen sind Installationen des WebSphere Application Server und der Liberty-Variante, die diese Web Server Plug-ins einsetzen.

CVE-2026-8631

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der HP Linux Imaging and Printing Software, dem Druck- und Scan-Paket für HP-Geräte unter Linux. Betroffen ist die Verarbeitungskomponente hpcups, die Druckdaten aufbereitet. Beim Verarbeiten speziell präparierter Druckdaten kommt es zu einem Ganzzahlüberlauf: Eine Rechenoperation liefert einen falschen, übergelaufenen Wert, der die weitere Verarbeitung in einen unsicheren Zustand bringt. Ein Angreifer, der solche manipulierten Druckdaten einschleust, kann dadurch entweder seine Rechte auf dem System ausweiten oder eigenen Code zur Ausführung bringen. Damit lässt sich der Druckpfad missbrauchen, um über die eigentlich vorgesehenen Berechtigungen hinaus Kontrolle auf dem betroffenen Linux-System zu erlangen. Gefährdet sind Systeme, auf denen diese Druck-Software installiert ist und über die Angreifer manipulierte Druckaufträge einspeisen können.

CVE-2026-8522

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Downloads-Komponente des Webbrowsers Google Chrome in der Version für macOS. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Ein solcher Zugriff auf nicht mehr gültigen Speicher lässt sich missbrauchen, um den Programmablauf zu manipulieren. Ausnutzen kann das ein entfernter Angreifer aus der Ferne, indem er eine eigens präparierte HTML-Seite bereitstellt; ruft das Opfer diese Seite im Browser auf, wird der Fehler ausgelöst. Im Erfolgsfall kann der Angreifer beliebigen Code auf dem System des Opfers ausführen und so die Kontrolle über den Rechner erlangen. Betroffen sind Anwenderinnen und Anwender, die Chrome auf dem Mac einsetzen – der Angriff erfordert lediglich, dass eine manipulierte Webseite geöffnet wird, was das Schadpotenzial erheblich macht.

CVE-2026-8511

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Benutzeroberfläche (UI) des Webbrowsers Google Chrome. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Fehler entstehen durch eine fehlerhafte Speicherverwaltung und lassen sich oft so manipulieren, dass ein Angreifer kontrolliert auf den Speicher einwirkt. Ausnutzen lässt sich der Defekt aus der Ferne über eine eigens präparierte HTML-Seite: Ruft das Opfer eine solche Seite auf, kann der Angreifer den Fehler auslösen. Das eigentliche Ziel ist ein Ausbruch aus der Sandbox – jener Schutzschicht, die den Browser vom restlichen System abschottet und Schadcode normalerweise einsperrt. Gelingt dieser Ausbruch, kann der Angreifer aus der isolierten Browserumgebung heraus auf das darunterliegende System zugreifen. Betroffen sind Anwender, die mit einer verwundbaren Chrome-Version eine vom Angreifer kontrollierte Webseite besuchen.

CVE-2026-8510

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in Skia, der Grafikbibliothek, die Google Chrome zum Zeichnen von Webinhalten verwendet. Ursache ist ein Integer-Überlauf: Bei der Verarbeitung bestimmter Grafikdaten läuft eine Ganzzahl über, sodass die Software anschließend einen Speicherbereich falsch berechnet und außerhalb der vorgesehenen Grenzen schreibt. Ein solcher Schreibzugriff über die Speichergrenzen hinaus lässt sich nutzen, um den Programmablauf zu manipulieren. Auslösen lässt sich der Fehler über eine präparierte HTML-Seite. Voraussetzung ist allerdings, dass der Angreifer zuvor bereits den Renderer-Prozess von Chrome unter seine Kontrolle gebracht hat – jenen abgeschotteten Teilprozess, der Webseiteninhalte darstellt. Über den manipulierten Speicherzugriff in Skia kann er aus dieser Sandbox-Umgebung ausbrechen und seinen Einfluss auf das System ausweiten. Betroffen ist die Windows-Version des Browsers. Da der Angriff aus der Ferne über eine schadhafte Webseite eingeleitet wird, genügt im Zusammenspiel mit einer bereits kompromittierten Renderer-Komponente der Besuch einer entsprechend gestalteten Seite.

CVE-2026-8206

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft das WordPress-Plugin „Kirki – Freeform Page Builder, Website Builder & Customizer". Sie liegt im Ablauf zum Zurücksetzen von Passwörtern. Fordert ein Nutzer ein neues Passwort über seinen Benutzernamen an, akzeptiert das Plugin eine beliebige, frei angegebene E-Mail-Adresse als Empfänger – statt den Link ausschließlich an die hinterlegte Adresse des Kontos zu senden. Dadurch kann ein nicht angemeldeter Angreifer den Zurücksetzungs-Link für ein beliebiges auf der Website registriertes Konto an seine eigene E-Mail-Adresse schicken lassen. Mit diesem Link setzt er das Passwort des fremden Kontos neu und übernimmt es vollständig. Greift er auf diese Weise ein Administratorkonto an, verschafft er sich erhöhte Rechte und damit die Kontrolle über die gesamte Website. Der Angriff erfordert weder gültige Zugangsdaten noch eine Mitwirkung des Opfers und lässt sich allein über die Funktion zum Passwort-Zurücksetzen auslösen.

CVE-2026-8181

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft das Analyse-Plugin Burst Statistics für WordPress, eine datenschutzfreundliche Alternative zu Google Analytics. Der Fehler steckt in der internen Funktion zur Authentifizierungsprüfung, die feststellen soll, ob eine Anfrage über die MainWP-Anbindung berechtigt ist. Beim Prüfen sogenannter Anwendungspasswörter aus dem Authorization-Header der HTTP-Anfrage wertet diese Funktion den Rückgabewert falsch aus. Dadurch kann ein nicht angemeldeter Angreifer die Anmeldung umgehen: Kennt er den Benutzernamen eines Administrators, genügt es, im Authorization-Header ein beliebiges, frei erfundenes Passwort per Basic Authentication mitzusenden. Das Plugin akzeptiert die Anfrage und behandelt den Angreifer für die Dauer dieser Anfrage als den betreffenden Administrator. Auf diese Weise verschafft er sich administrative Rechte, ohne ein gültiges Passwort zu besitzen. Da Administratorkonten in WordPress weitreichende Kontrolle über die gesamte Website besitzen, ermöglicht der Defekt eine vollständige Rechteausweitung allein durch Kenntnis eines Benutzernamens.

CVE-2026-8053

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Implementierung von Zeitreihen-Sammlungen (time-series collections) des MongoDB Servers. Zugrunde liegt eine Inkonsistenz in der internen Zuordnung von Feldnamen zu Indizes innerhalb des sogenannten Bucket-Katalogs, über den die Zeitreihendaten verwaltet werden. Ein angemeldeter Benutzer, der über Schreibrechte auf einer Datenbank verfügt, kann diesen Defekt ausnutzen und im Serverprozess (mongod) einen Schreibzugriff außerhalb der vorgesehenen Speichergrenzen auslösen. Solche Speicherverletzungen führen zunächst zu undefiniertem Verhalten und können unter bestimmten Bedingungen so weit getrieben werden, dass beliebiger Code ausgeführt wird. Damit reicht die Wirkung über einen bloßen Absturz der Datenbank hinaus: Ein Angreifer mit Datenbank-Schreibberechtigung kann die Kontrolle über den Datenbankprozess erlangen. Voraussetzung ist eine gültige Authentifizierung mit entsprechenden Rechten, weshalb vor allem Umgebungen mit weit gefassten oder unzureichend abgegrenzten Schreibberechtigungen gefährdet sind.

CVE-2026-8043

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Software Ivanti Xtraction und beruht auf der externen Kontrolle eines Dateinamens: Ein Angreifer kann beeinflussen, welche Datei das Programm verarbeitet, ohne dass diese Vorgabe ausreichend geprüft oder eingeschränkt wird. Ausnutzbar ist der Fehler aus der Ferne, allerdings muss der Angreifer angemeldet sein, also über gültige Zugangsdaten verfügen. Über die manipulierte Dateinamen-Vorgabe kann er einerseits schützenswerte Dateien auslesen, auf die er eigentlich keinen Zugriff haben sollte, und andererseits beliebige HTML-Dateien in ein Web-Verzeichnis schreiben. Aus dem Lesezugriff folgt ein Abfluss vertraulicher Informationen. Die eingeschleusten HTML-Dateien wiederum lassen sich nutzen, um Angriffe gegen andere Benutzer im Browser vorzubereiten, etwa indem ihnen manipulierte Inhalte über die Anwendung ausgeliefert werden. Damit verbindet die Lücke unbefugtes Lesen mit dem Platzieren angreifergesteuerter Webinhalte.

CVE-2026-7898

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Komponente Chromoting im Webbrowser Google Chrome unter Linux; Chromoting ist die Technik hinter dem Fernzugriff per Chrome Remote Desktop. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Zustände lassen sich gezielt manipulieren, um den Programmablauf zu verändern. Ausnutzen lässt sich der Fehler aus der Ferne über speziell präparierten Netzwerkverkehr – der Angreifer muss also lediglich entsprechende Daten an das verwundbare System senden. Gelingt dies, kann er beliebigen Programmcode ausführen und auf diesem Weg die Kontrolle über den betroffenen Prozess und damit potenziell über das System erlangen. Betroffen sind Linux-Systeme, auf denen die verwundbare Chrome-Version mit der Chromoting-Funktion eingesetzt wird.

CVE-2026-7897

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft Google Chrome auf iOS, genauer die Mobile-Komponente des Browsers. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der bereits freigegeben wurde. Diesen Zustand kann ein Angreifer gezielt herbeiführen und für die Ausführung von beliebigem Code missbrauchen. Der Angriff erfolgt aus der Ferne über eine präparierte HTML-Seite – das Opfer muss also lediglich eine vom Angreifer kontrollierte Webseite öffnen. Zusätzlich ist erforderlich, dass der Nutzer dabei bestimmte Bediengesten in der Oberfläche ausführt; der Angreifer muss ihn also zu einer entsprechenden Interaktion verleiten. Gelingt dies, kann fremder Code im Kontext des Browsers ausgeführt werden. Betroffen sind Anwender, die Chrome auf iOS-Geräten einsetzen und über manipulierte Inhalte auf eine solche Seite gelockt werden.

CVE-2026-7896

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in Blink, der Rendering-Engine von Google Chrome, die für die Darstellung von Webseiten zuständig ist. Ursache ist ein Ganzzahlüberlauf: Bei einer bestimmten Berechnung überschreitet ein Zahlenwert den zulässigen Bereich und kippt um, wodurch intern falsche Größen verwendet werden. In der Folge kann es zu einer Beschädigung des Heap-Speichers kommen – also jenes Speicherbereichs, in dem das Programm zur Laufzeit Daten ablegt. Ausnutzen lässt sich der Defekt aus der Ferne über eine eigens präparierte HTML-Seite: Ruft das Opfer eine vom Angreifer kontrollierte Webseite auf, wird der fehlerhafte Verarbeitungspfad ausgelöst. Eine solche Speicherbeschädigung lässt sich häufig dazu missbrauchen, den Programmablauf zu manipulieren und im schlimmsten Fall eigenen Code auszuführen. Betroffen sind Anwender des Chrome-Browsers, da der Angriff allein durch den Besuch einer manipulierten Seite erfolgen kann.

CVE-2026-7821

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft Ivanti EPMM und beruht auf einer fehlerhaften Zertifikatsprüfung. Weil die Gültigkeit von Zertifikaten nicht korrekt validiert wird, kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung ein Gerät registrieren, das eigentlich zu einer eingeschränkten Gruppe noch nicht eingebundener Geräte gehört. Auf diesem Weg lassen sich zwei Ziele erreichen: Zum einen gibt das System dabei Informationen über die EPMM-Appliance preis, die dem Angreifer nicht zustehen. Zum anderen wird die Integrität der Identität des neu eingebundenen Geräts untergraben – das eingebundene Gerät steht also nicht mehr zuverlässig für die Identität, die es vorgibt zu haben. Da es sich um eine Lösung zur Verwaltung mobiler Endgeräte handelt und der Angriff weder Zugangsdaten noch eine Benutzerinteraktion erfordert, ist insbesondere eine aus dem Netz erreichbare Registrierungsschnittstelle ein exponierter Angriffspunkt.

CVE-2026-7482

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft Ollama, eine Software zum lokalen Betrieb von KI-Sprachmodellen, und steckt im Lader für GGUF-Modelldateien. Über die Schnittstelle zum Erstellen eines Modells lässt sich eine vom Angreifer präparierte GGUF-Datei einschleusen, in der die angegebene Position und Größe eines Tensors über die tatsächliche Dateilänge hinausreichen. Beim anschließenden Quantisieren liest der Server dadurch über den reservierten Speicherbereich hinaus (Lesezugriff außerhalb der Grenzen auf dem Heap). Auf diese Weise gelangen fremde Speicherinhalte in das erzeugte Modell – darunter Umgebungsvariablen, API-Schlüssel, System-Prompts sowie Gesprächsdaten gleichzeitig aktiver Nutzer. Über die Schnittstelle zum Hochladen eines Modells kann der Angreifer das so gefüllte Artefakt anschließend an eine von ihm kontrollierte Registry übertragen und die ausgelesenen Daten damit abfließen lassen. Beide genutzten Schnittstellen erfordern in der Standardverteilung keine Anmeldung. Zwar lauscht die Software standardmäßig nur lokal, doch die verbreitete Konfiguration zur Freigabe auf allen Netzwerkadressen macht zahlreiche Instanzen aus dem Internet erreichbar.

CVE-2026-7363

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle ist ein Use-after-free-Fehler in der Canvas-Komponente von Google Chrome, also jener Funktion, mit der Webseiten Grafiken zeichnen und darstellen. Bei einem solchen Fehler greift das Programm noch auf einen Speicherbereich zu, der bereits freigegeben wurde – ein Zustand, den ein Angreifer gezielt manipulieren kann. Ausgelöst wird der Defekt durch eine eigens präparierte HTML-Seite: Ruft das Opfer eine solche Seite auf, kann ein entfernter Angreifer beliebigen Programmcode ausführen. Die Codeausführung findet dabei innerhalb der Sandbox statt, also in der abgeschotteten Umgebung, mit der der Browser einzelne Webinhalte vom restlichen System trennt. Betroffen sind die Chrome-Versionen für Linux und ChromeOS. Da lediglich der Besuch einer manipulierten Webseite genügt und keine weitere Nutzeraktion nötig ist, eignet sich die Lücke gut für breit gestreute Angriffe über kompromittierte oder bösartige Webseiten.

CVE-2026-7361

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft den Webbrowser Google Chrome in seiner Version für das Apple-Betriebssystem iOS. Es handelt sich um einen sogenannten Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Ein solcher Zugriff auf ungültigen Speicher kann zu einer Beschädigung des Heap-Speichers führen, also jenes Bereichs, in dem das Programm zur Laufzeit Daten ablegt. Ausnutzen lässt sich der Fehler aus der Ferne: Ein Angreifer präpariert dazu eine HTML-Seite mit speziell gestaltetem Inhalt. Ruft das Opfer diese Seite mit dem betroffenen Browser auf, wird der Defekt ausgelöst. Über die so herbeigeführte Speicherbeschädigung kann ein Angreifer das Verhalten des Browsers manipulieren und im weiteren Verlauf möglicherweise eigenen Code zur Ausführung bringen. Da bereits der bloße Besuch einer entsprechend vorbereiteten Webseite genügt, ist der Angriffsweg niedrigschwellig und betrifft alle Nutzer des Browsers unter iOS.

CVE-2026-7344

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Accessibility-Komponente (Barrierefreiheit) von Google Chrome unter Windows. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Zugriffe auf nicht mehr gültigen Speicher lassen sich gezielt manipulieren und können dazu genutzt werden, den Programmablauf zu beeinflussen. Ausgelöst wird der Fehler über eine speziell präparierte HTML-Seite. Voraussetzung für den Angriff ist allerdings, dass der Angreifer bereits zuvor den Renderer-Prozess des Browsers unter seine Kontrolle gebracht hat – also jenen Teil, der Webinhalte darstellt und bewusst stark abgeschottet betrieben wird. Über die Lücke kann er aus dieser Abschottung ausbrechen (Sandbox-Escape) und so die Schutzgrenze überwinden, die den Browser vom übrigen System trennt. Damit erweitert ein Angreifer einen bereits erlangten, eingeschränkten Zugriff zu einem weitreichenderen Zugriff auf das betroffene System.

CVE-2026-7343

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Komponente „Views" in Google Chrome unter Windows. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Zugriffe lassen sich von einem Angreifer gezielt manipulieren, um den weiteren Programmablauf zu beeinflussen. Voraussetzung für die Ausnutzung ist, dass der Angreifer bereits den Renderer-Prozess des Browsers unter seine Kontrolle gebracht hat – also jenen abgeschotteten Teilprozess, der die Darstellung von Webinhalten übernimmt. Über eine eigens präparierte HTML-Seite kann er den Fehler dann auslösen und aus der Sandbox ausbrechen. Diese Sandbox ist eine Sicherheitsbarriere, die den Renderer vom restlichen System trennt; ihr Durchbrechen hebt eine zentrale Schutzschicht des Browsers auf und eröffnet den Weg zu einem weitergehenden Zugriff auf das darunterliegende System. Betroffen sind Windows-Nutzer des Chrome-Browsers.

CVE-2026-7324

Sat, 20 Jun 2026 00:00:00 +0200

Bei der Schwachstelle handelt es sich um mehrere Speichersicherheitsfehler im E-Mail-Programm Thunderbird. Solche Fehler entstehen, wenn das Programm den Arbeitsspeicher fehlerhaft verwaltet – etwa indem es auf Speicherbereiche zugreift, die es so nicht hätte ansprechen dürfen. Bei einem Teil dieser Fehler ließ sich beobachten, dass es tatsächlich zu Speicherkorruption kommt, also der Inhalt von Speicherbereichen ungewollt überschrieben oder verfälscht wird. Auf dieser Grundlage gehen die Entwickler davon aus, dass sich zumindest einige der Fehler mit ausreichendem Aufwand gezielt ausnutzen ließen, um beliebigen Schadcode auszuführen. Ein Angreifer könnte das betroffene Programm so dazu bringen, von ihm vorgegebenen Code laufen zu lassen, und damit eigene Befehle auf dem System des Opfers ausführen. Betroffen sind Nutzer des E-Mail-Clients Thunderbird.

CVE-2026-7323

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft den E-Mail-Client Thunderbird und beruht auf mehreren Fehlern in der Speicherverwaltung des Programms (Memory-Safety-Bugs). Bei solchen Fehlern geht die Software nicht korrekt mit reserviertem Arbeitsspeicher um – etwa indem Daten über die vorgesehenen Grenzen hinaus geschrieben oder gelesen werden. Bei einem Teil dieser Fehler zeigten sich Anzeichen einer Speicherbeschädigung (Memory Corruption), also eines unkontrollierten Überschreibens von Speicherinhalten. Daraus ergibt sich die Gefahr, dass ein Angreifer mit ausreichendem Aufwand den beschädigten Speicher gezielt manipuliert und auf diesem Weg eigenen Schadcode zur Ausführung bringt. Gelingt das, kann er beliebige Befehle im Kontext des Programms ausführen und damit das System des Opfers kompromittieren. Da Thunderbird Inhalte aus eingehenden Nachrichten verarbeitet, bilden manipulierte E-Mails einen naheliegenden Weg, solche Speicherfehler auszulösen. Betroffen sind Nutzerinnen und Nutzer des Clients in der regulären sowie in der Extended-Support-Variante.

CVE-2026-7322

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft den E-Mail-Client Thunderbird und geht auf mehrere Fehler im Speichermanagement zurück. Bei einigen dieser Fehler gab es Hinweise auf eine Speicherbeschädigung (Memory Corruption): Programmteile schreiben oder lesen Daten außerhalb der dafür vorgesehenen Speicherbereiche. Solche Defekte lassen sich von Angreifern grundsätzlich ausnutzen, indem sie speziell präparierte Inhalte aufbereiten, die den fehlerhaften Code gezielt ansteuern. Nach Einschätzung der Entwickler ist mit ausreichendem Aufwand denkbar, dass sich zumindest ein Teil dieser Speicherfehler dazu missbrauchen lässt, beliebigen Schadcode auszuführen und so die Kontrolle über die betroffene Anwendung zu erlangen. Betroffen sind Nutzer des E-Mail-Clients, da das Verarbeiten manipulierter Inhalte den Defekt auslösen kann.

CVE-2026-7320

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Audio/Video-Komponente von Firefox und Thunderbird. Ursache ist eine fehlerhafte Behandlung von Grenzbedingungen: An der Schnittstelle zwischen gültigem und ungültigem Speicherbereich werden die Grenzen falsch geprüft, sodass beim Verarbeiten von Audio- oder Videodaten auf Speicher zugegriffen wird, der eigentlich außerhalb des vorgesehenen Bereichs liegt. Dadurch können Informationen offengelegt werden, die dem Angreifer nicht zugänglich sein sollten – etwa Reste fremder Speicherinhalte aus dem Anwendungsprozess. Da sich solche Inhalte über präparierte Medieninhalte auslesen lassen, genügt es typischerweise, dass das Opfer eine entsprechend gestaltete Audio- oder Videodatei wiedergibt oder eine Seite mit solchen Medien öffnet. Betroffen sind sowohl der Webbrowser Firefox als auch das E-Mail-Programm Thunderbird, die diese Medienverarbeitung gemeinsam nutzen.

CVE-2026-7304

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle betrifft die Laufzeitumgebung von SGLang für die multimodale Textgenerierung. Sie tritt auf, wenn die Option zum Einsatz benutzerdefinierter Logit-Prozessoren aktiviert ist. In dieser Konfiguration nimmt die Software Python-Objekte entgegen und entserialisiert sie über die Bibliothek dill, ohne deren Inhalt zu prüfen oder einzuschränken. Da beim Deserialisieren solcher Objekte beliebiger Programmcode ausgeführt werden kann, lässt sich dieser Mechanismus missbrauchen: Ein Angreifer übergibt ein präpariertes Objekt, dessen Verarbeitung eigenen Code zur Ausführung bringt. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung, sodass jeder, der die betroffene Schnittstelle erreichen kann, Code auf dem Server einschleusen und ausführen kann. Besonders kritisch ist dies bei Systemen, deren Generierungs-Endpunkt über das Netzwerk erreichbar ist, da der Angreifer dort die Kontrolle über den Dienst und das darunterliegende System erlangen kann.

CVE-2026-7302

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Laufzeitumgebung von SGLang für multimodale Generierung. Es handelt sich um eine Path-Traversal-Lücke (Verzeichnisüberschreitung), die sich aus der Ferne und ohne vorherige Anmeldung ausnutzen lässt. Wird eine Datei an bestimmte Endpunkte hochgeladen, prüft der Server den angegebenen Dateinamen nicht ausreichend. Schleust ein Angreifer in diesen Dateinamen Zeichenfolgen wie „../" ein, kann er aus dem eigentlich vorgesehenen Upload-Verzeichnis ausbrechen und die Datei an einem frei gewählten Ort im Dateisystem ablegen. Auf diese Weise lassen sich an beliebigen Stellen Dateien schreiben, auf die der Serverprozess Schreibzugriff besitzt. Da das Ablegen oder Überschreiben von Dateien an kritischen Stellen häufig zur Ausführung von eigenem Code oder zur Übernahme des Systems führt, ist die Lücke besonders folgenschwer – zumal sie ohne jede Authentifizierung auslösbar ist.

CVE-2026-7301

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt im Scheduler der Laufzeitumgebung von SGLang, die zur multimodalen Generierung eingesetzt wird. Der Kern des Problems ist eine unsichere Verarbeitung eingehender Nachrichten: Die Komponente nutzt einen ROUTER-Socket, der sich standardmäßig an alle Netzwerkschnittstellen bindet und damit ohne weitere Eingrenzung von außen erreichbar ist. Auf die so empfangenen Nachrichten wird unmittelbar die Funktion pickle.loads() angewendet, die deren Inhalt deserialisiert. Da beim Deserialisieren von Pickle-Daten beliebiger Code ausgeführt werden kann, lässt sich über präparierte Nachrichten Schadcode einschleusen und auf dem Zielsystem ausführen. Ist der Dienst dem Internet ausgesetzt, kann ein Angreifer dies aus der Ferne ausnutzen und so die Kontrolle über das betroffene System erlangen. Besonders kritisch ist die Kombination aus der standardmäßig offenen Bindung und dem ungeprüften Deserialisieren, weil der Angriffsweg ohne zusätzliche Voraussetzungen unmittelbar offensteht.

CVE-2026-7299

Sat, 20 Jun 2026 00:00:00 +0200

Die Schwachstelle steckt in der Autovervollständigung des SQL-Abfrage-Editors von Appsmith. Beim Anzeigen von Namen aus der angebundenen Datenbank – etwa Tabellen- oder Spaltennamen – fügt der Editor diese Bezeichnungen ungeprüft in den HTML-Inhalt der Oberfläche ein, ohne sie zuvor zu bereinigen. Dadurch lässt sich schädlicher Skriptcode in solche Datenbank-Objektnamen einschleusen. Ein angemeldeter Benutzer mit Entwicklerrechten kann auf diese Weise eine dauerhafte (persistente) Cross-Site-Scripting-Lücke ausnutzen: Der eingebettete Code bleibt gespeichert und wird später automatisch ausgeführt, sobald andere Mitglieder desselben Arbeitsbereichs dieselbe Datenquelle öffnen und mit ihr arbeiten. Der Schadcode läuft dann im Sitzungskontext dieser Opfer, sodass der Angreifer in deren Namen beliebigen Code im Browser ausführen kann. Betroffen sind alle Mitglieder eines Arbeitsbereichs, die auf eine vom Angreifer präparierte Datenquelle zugreifen.