Wissen

CVE-2026-20824 Windows Remote Assistance umgeht Downloadprüfung

Microsoft hat eine Schwachstelle in Windows Remote Assistance behoben, die es Angreifern ermöglicht, die Mark-of-the-Web-(MOTW)-Schutzmechanismen zu umgehen. Die unter CVE-2026-20824 geführte Lücke wird als Fehler in einem Schutzmechanismus eingestuft und besitzt einen CVSS-Score von 5,5.

Read More

PoC für Fortinet FortiSIEM RCE veröffentlicht: CVE-2025-64155 aktiv ausnutzbar

Für die kritische Schwachstelle CVE-2025-64155 in Fortinet FortiSIEM wurde ein öffentlich verfügbarer Proof of Concept veröffentlicht. Die Lücke ermöglicht über eine Argument-Injection die Remote-Code-Ausführung mit Root-Rechten und wird von Sicherheitsforschern von Horizon3.ai als seit Jahren ausnutzbar beschrieben.

Read More

Whisperpair: Kritische Schwachstelle in Google Fast Pair erlaubt Übernahme von Bluetooth-Geräten

Sicherheitsforscher der Katholischen Universität Leuven haben am 15. Januar 2026 die kritische Schwachstelle „whisperpair“ in Google Fast Pair offengelegt. Die unter CVE-2025-36911 geführte Lücke ermöglicht es Angreifern, unterstützte Bluetooth-Geräte wie Kopfhörer oder Headsets ohne Kopplungsmodus und ohne Bestätigung durch den Nutzer zu übernehmen.

Read More

Kritische Schwachstelle in React Router und Remix ermöglicht unautorisierten Dateizugriff

In den Paketen @react-router/node sowie @remix-run/node und @remix-run/deno wurde eine kritische Sicherheitslücke (CVE-2025-61686) entdeckt, die beim Einsatz von createFileSessionStorage() mit unsignierten Cookies auftritt. Betroffen sind React Router Versionen von 7.0.0 bis einschließlich 7.9.3 sowie Remix v2 bis Version 2.17.1.

Read More

Kritische PHP-Schwachstellen: Breite Sicherheitsupdates für Linux-Distributionen verfügbar

Für PHP wurden mehrere schwerwiegende Sicherheitslücken mit einem hohen Gesamtrisiko (CVSS 8.6) geschlossen. Betroffen sind PHP-Versionen unterhalb von 8.1.34, 8.2.30, 8.3.29, 8.4.16 und 8.5.1. Die Schwachstellen erlauben unter anderem das Ausspähen von Informationen, die Ausführung beliebigen Programmcodes sowie Denial-of-Service-Angriffe – ohne erforderliche Privilegien und aus der Ferne.

Read More

Node.js veröffentlicht umfangreiche Security-Updates für mehrere Versionen

Das Node.js-Projekt hat am Dienstag, den 13. Januar 2026, neue Sicherheitsupdates für die aktiven Release-Linien 20.x, 22.x, 24.x und 25.x bereitgestellt. Insgesamt beheben die Updates drei Schwachstellen mit hoher, vier mit mittlerer und eine mit niedriger Kritikalität.

Read More

HPE OneView: Kritische Code-Injection ermöglicht unauthentifizierte Remote-Code-Ausführung

Hewlett Packard Enterprise warnt vor einer kritischen Sicherheitslücke in HPE OneView, die es entfernten, nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen. Die Schwachstelle wird unter CVE-2025-37164 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Read More

SUSE Virtualization: Kritische SSH-Lücke im interaktiven Installer entdeckt

In SUSE Virtualization (Harvester) wurde eine kritische Sicherheitslücke identifiziert, die unautorisierten SSH-Zugriff auf Hosts ermöglicht. Betroffen sind die Versionen 1.5.x und 1.6.x, sofern der interaktive Installer zur Erstellung eines neuen Clusters oder zum Hinzufügen weiterer Hosts genutzt wird. Die Schwachstelle wird unter CVE-2025-62877 geführt und mit einem CVSS-Score von 9.8 als kritisch eingestuft.

Read More

Gmail erhält KI-gestütztem Posteingang

Google hat den Start der sogenannten Gemini-Ära für Gmail angekündigt und führt 2026 umfangreiche KI-Funktionen ein, die den E-Mail-Alltag stärker automatisieren sollen. Ziel ist es, Gmail von einem reinen Postfach zu einem proaktiven, persönlichen Assistenten weiterzuentwickeln.

Read More

Aktive Angriffe auf Cisco Secure Email Gateway mit Root-RCE entdeckt

Cisco warnt vor einer laufenden Angriffskampagne gegen Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Betroffen sind Appliances, auf denen Cisco AsyncOS läuft und bei denen die Spam-Quarantine-Funktion aktiviert und aus dem Internet erreichbar ist. Die Schwachstelle wird unter CVE-2025-20393 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Read More