Wissen
- Home /
- Wissen
Axios-Schwachstelle CVE-2026-40175: Header-Injection als Einfallstor in Cloud-Infrastrukturen
Wer die JavaScript-Bibliothek Axios in Node.js-Anwendungen einsetzt, sollte diese Meldung aufmerksam lesen. In allen Versionen von 0.x bis 1.x vor den Patches 0.31.0 bzw. 1.15.0 fehlt eine grundlegende Prüfung: Header-Werte werden nicht auf CRLF-Zeichen (\r\n) geprüft, bevor sie an den Socket übergeben werden. Das klingt zunächst technisch und harmlos – hat aber weitreichende Konsequenzen.
Read MoreEU-Datenschutzbehörden bremsen „Digital Omnibus" – DSGVO-Abbau vorerst gestoppt
Die EU-Kommission wollte mit dem sogenannten „Digital Omnibus" weitreichende Änderungen an der DSGVO durchsetzen – darunter eine engere Definition von Personendaten, Einschränkungen beim Auskunftsrecht und einen Freifahrtschein für KI-Training auf Basis von Nutzerdaten. Nun haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Stellungnahme deutliche Kritik geäußert und mehrere Kernpunkte klar abgelehnt.
Read MoreLinkedIn sperrt DSGVO-Auskunftsrecht hinter Paywall – noyb beschwert sich
Wer wissen möchte, wer das eigene LinkedIn-Profil besucht hat, soll dafür bezahlen – das ist die aktuelle Praxis der Microsoft-Tochter. Die österreichische Datenschutzorganisation noyb sieht darin einen klaren Verstoß gegen Art. 15 DSGVO, der jedem das Recht auf kostenlose Selbstauskunft über gespeicherte Daten garantiert. noyb hat nun im Namen eines LinkedIn-Nutzers Beschwerde bei der österreichischen Datenschutzbehörde eingelegt und eine Geldbuße gefordert.
Read More„Copy Fail" – 732 Bytes reichen für Root auf jedem Linux-Server
Sicherheitsforscher von Theori haben eine Schwachstelle im Linux-Kernel veröffentlicht, die seit 2017 in praktisch allen gängigen Distributionen schlummert. Der Fehler steckt im Zusammenspiel dreier Kernel-Komponenten: dem Krypto-Socket AF_ALG, dem Systemaufruf splice() und dem AEAD-Template authencesn. Ein nicht privilegierter lokaler Nutzer kann damit gezielt 4 Bytes in den In-Memory-Cache eines beliebigen lesbaren setuid-Binaries schreiben – ohne die Datei auf der Festplatte zu verändern. Standard-Integritätsprüfungen wie checksummen-basiertes File-Monitoring schlagen deshalb nicht an. Ein 732-Byte-Python-Skript reicht, um auf Ubuntu, Amazon Linux, RHEL und SUSE Root zu erlangen. Ein PoC ist öffentlich verfügbar.
Read MoreApache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution
In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.
Read MoreKritische Lücke im Apache HTTP Server – mod_proxy_ajp
Im Apache HTTP Server wurde eine Heap-Buffer-Overflow-Schwachstelle im Modul mod_proxy_ajp entdeckt. Ein bösartiger AJP-Backend-Server kann dabei 4 Bytes kontrolliert außerhalb eines Heap-Puffers schreiben – was in der Praxis zur vollständigen Kompromittierung des Servers führen kann: Vertraulichkeit, Integrität und Verfügbarkeit sind alle maximal gefährdet. Der CVSS-Score liegt bei 9.8 von 10. Betroffen sind alle Versionen bis einschließlich 2.4.66. Das Angriffsszenario setzt voraus, dass mod_proxy_ajp aktiv ist und auf einen – auch intern kompromittierten – AJP-Server zeigt, etwa einen Tomcat-Backend-Server.
Read MoreEuropols Schatten-IT: Millionen Datensätze ohne Kontrolle
Laut einem Bericht von heise.de belegen interne Dokumente, dass Europol jahrelang bis zu 99 % seiner operativen Daten auf einer Plattform ohne IT-Kontrolle und Zugriffsprotokollierung verarbeitete — darunter Standortdaten, Finanztransaktionen und Ausweisdokumente auch von Unverdächtigen. Der EU-Datenschutzbeauftragte wurde offenbar gezielt im Dunkeln gelassen. Ein ehemaliger Insider berichtet, die Behörde versuche das System nun nachträglich zu legalisieren.
Read MoreSchwere Sicherheitslücke im Apache Webserver ermöglicht Systemabsturz und Codeausführung
Die Apache Software Foundation hat ein Update für ihren weit verbreiteten HTTP Server veröffentlicht, das eine kritische Schwachstelle schließt. CVE-2026-23918 (CVSS 8.8) betrifft ausschließlich Apache HTTP Server 2.4.66 mit aktiviertem HTTP/2-Modul (mod_http2). Ein Angreifer kann mit nur zwei Netzwerkpaketen, ohne Authentifizierung, den Serverprozess zum Absturz bringen (Denial of Service). Unter bestimmten Systemkonfigurationen – konkret wenn der APR-mmap-Allocator aktiv ist, was auf Debian, Ubuntu und im offiziellen Docker-Image standardmäßig der Fall ist – ist sogar die Ausführung von beliebigem Code nachweislich möglich. Forscher haben einen funktionierenden Exploit demonstriert. Der klassische prefork-Modus ist nicht betroffen; wer jedoch worker oder event als MPM einsetzt, ist verwundbar.
Read MoreCVE-2026-30893 – Kritische Lücke in Wazuh erlaubt Codeausführung über Cluster-Sync
Wer Wazuh als SIEM- oder Monitoring-Plattform im Cluster-Betrieb einsetzt, sollte umgehend handeln. In der Funktion decompress_files() werden Dateipfade aus empfangenen Sync-Archiven ungefiltert an os.path.join() übergeben – ein klassischer Path-Traversal-Fehler. Ein authentifizierter Cluster-Peer kann dadurch Dateien an beliebige Stellen im Dateisystem schreiben, etwa Python-Module überschreiben, die Wazuh selbst lädt, und so Code im Kontext des Wazuh-Dienstes ausführen. In Docker-Umgebungen, wo der Daemon häufig als root läuft, ist eine vollständige Systemkompromittierung möglich – inklusive Cron-Jobs, SSH-Keys und mehr. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar, was die Dringlichkeit weiter erhöht.
Read MoreCVE-2026-21510 – Windows Shell umgeht SmartScreen-Schutz
Microsoft hat am 10. Februar 2026 einen Patch für eine aktiv ausgenutzte Sicherheitslücke in der Windows Shell veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-21510 erhält einen CVSS-Score von 8,8 (Hoch) und betrifft nahezu alle aktuellen Windows-Versionen – von Windows 10 bis Windows 11 sowie Windows Server 2012 bis 2025.
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-CodeausfĂĽhrung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- SicherheitslĂĽcke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- SĂĽdafrika
- Ubuntu
- Updates
- VerfĂĽgbarkeit
- VerschlĂĽsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland