Tägliches Cyber- & KI-Sicherheitsupdate

Security-Briefing 29.06.2026: Kritische Schwachstellen in Gitea, WordPress, FFmpeg und weiteren Systemen

- von Julka - Kommentar hinterlassen

Aktuelle sicherheitsrelevante Meldungen aus offiziellen Quellen, eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

Gitea act_runner mit Docker-Backend: Container-Escape durch unsichere Optionen

Gitea act_runner mit dem Docker-Backend (bis Version 0.262.0) übergibt die container.options-Zeichenkette eines Workflows an die HostConfig des Docker-Job-Containers. Selbst bei aktivierter Einstellung privileged: false werden Optionen wie –pid=host, –cap-add und –security-opt nicht zurückgesetzt. Ein Angreifer mit der Möglichkeit, Workflows auszuführen, kann so einen Job-Container mit Host-Namespaces und erweiterten Berechtigungen erstellen und trotz deaktiviertem privilegierten Modus als Root auf den Host zugreifen.

  • Priorität: Hoch (kritisch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58053
  • Für wen relevant: Unternehmen, die Gitea act_runner mit Docker-Backend für CI/CD-Pipelines einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die vollständige Kompromittierung des Host-Systems und damit den Zugriff auf alle dort laufenden Container und Daten.
  • Quelle: NVD

WordPress Frontend File Manager Plugin: Authentifizierte Dateilöschung

Das Frontend File Manager Plugin für WordPress ist bis Version 23.6 anfällig für authentifizierte willkürliche Dateilöschung. Durch einen Fall-Sensitivitäts-Bypass bei der Bereinigung des Parameters wpfm_dir_path in der wpfm_file_meta_update-AJAX-Funktion kann ein Angreifer mit Subscriber-Zugriff beliebige Dateien auf dem Server löschen. Betroffen ist die Normalisierung des Parameters durch sanitize_key(), die zu einer direkten Übergabe an unlink() ohne Pfadvalidierung führt.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-8095
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Frontend File Manager Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Löschung kritischer Dateien wie wp-config.php kann zu einer vollständigen Übernahme der WordPress-Instanz führen.
  • Quelle: NVD

FFmpeg RASC-Decoder: Heap-Overflow durch unsichere Speicherzugriffe

Der RASC-Videodecoder von FFmpeg (decode_dlta in libavcodec/rasc.c) führt 32-Bit-Lese- und Schreiboperationen am Zeilen-Cursor vor der NEXT_LINE-Grenzberechnung durch. Die Validierung des DLTA-Bereichs erfolgt in Pixeln statt in Bytes, sodass ein DLTA-Lauf auf einem PAL8-Rahmen mehrere Bytes über die Zeilenallokation hinaus zugreifen kann. Ein manipuliertes Medienstream mit dem RASC FourCC führt beim Dekodieren durch libavcodec zu einem bitstromgesteuerten Out-of-Bounds-Heap-Overflow und einem benachbarten Out-of-Bounds-Read, was zu Speicherkorruption führt.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58049
  • Für wen relevant: Anbieter und Nutzer von Anwendungen, die FFmpeg zur Videoverarbeitung einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit kann zur Ausführung beliebigen Codes im Kontext der FFmpeg-Anwendung führen.
  • Quelle: NVD

libssh2 – mehrere Stellen betroffen

Bei libssh2 sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. libssh2: Heap-Overflow durch fehlende Prüfung der Attributanzahl

libssh2 bis Version 1.11.1 liest eine angreifergesteuerte 32-Bit-Attributanzahl aus einer Publickey-Subsystem-Antwort und verwendet sie für die Allokation num_attrs * sizeof(libssh2_publickey_attribute) ohne Bereichsprüfung. Auf 32-Bit-Plattformen führt die Multiplikation zu einem Überlauf und einem zu kleinen Puffer. Ein bösartiger SSH-Server kann so die Attribut-Analyseschleife dazu bringen, über die Allokation hinaus zu schreiben und einen Heap-Buffer-Overflow in einem verbundenen libssh2-Client auszulösen.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58050
  • Für wen relevant: Nutzer von Anwendungen, die libssh2 für SSH-Verbindungen verwenden. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die Ausführung beliebigen Codes im Kontext des betroffenen Clients.
  • Quelle: NVD

2. libssh2: Uninitialisierte Speicherzugriffe durch fehlende Null-Initialisierung

libssh2 bis Version 1.11.1 erweitert seine Publickey-Liste mit SSH2_REALLOC, initialisiert neue Einträge jedoch nicht mit Nullwerten, bevor die Analyse diese füllt. Bei einem Analysefehler, der den Cleanup-Pfad erreicht, führt libssh2_publickey_list_free auf einem nicht initialisierten, angreifergesteuerten attrs-Zeiger zu einem uninitialisierten Speicherzugriff. Ein bösartiger SSH-Server kann eine manipulierte Antwort nutzen, um im Client-Kontext einen nicht initialisierten Zeiger freizugeben.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58051
  • Für wen relevant: Nutzer von Anwendungen, die libssh2 für SSH-Verbindungen verwenden. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit kann zur Ausführung beliebigen Codes oder zu Denial-of-Service führen.
  • Quelle: NVD

MyBB: Privilegieneskalation durch unzureichende Benutzergruppenprüfung

MyBB 1.8.40 beschränkt nicht, welche Benutzergruppe ein eingeschränkter Admin im Admin Control Panel bei der Erstellung oder Bearbeitung von Benutzern zuweisen darf. Der Benutzermodul bietet die Administrators-Gruppe (gid 4) an, und die verify_usergroup()-Funktion der Datenbehandlung gibt diesen Wert ohne weitere Prüfung zurück. Ein Admin mit nur delegierter Benutzerverwaltungsberechtigung kann so die Administrators-Gruppe einem Konto zuweisen und volle Administratorrechte erlangen.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58054
  • Für wen relevant: Betreiber von MyBB-Foren. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die vollständige Übernahme des Forums und aller damit verbundenen Daten.
  • Quelle: NVD

RustDesk: Unerlaubte Kontrolle durch unsichere Fähigkeitenfreigabe

RustDesk überprüft eingehende Steuerungsnachrichten anhand von Fähigkeitsflags statt anhand des autorisierten Verbindungstyps. Eine Dateiübertragungssitzung behält diese Flags bei, ohne sie zurückzusetzen. Ein Peer mit nur gültiger FileTransfer-Berechtigung kann so Tastatur- und Maus-Eingaben injizieren und auf ungeschützte Screenshot- und Bildschirmerfassungsfunktionen zugreifen, die außerhalb seines Berechtigungsumfangs liegen.

  • Priorität: Erhöht (hoch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58056
  • Für wen relevant: Nutzer und Betreiber von RustDesk für Remote-Desktop-Zugriff. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die vollständige Kontrolle über das Zielsystem durch einen Angreifer mit eingeschränkten Berechtigungen.
  • Quelle: NVD

Flowise: Code-Injection durch Fall-Sensitivitäts-Bypass in Umgebungsvariablen

Flowise vor Version 3.1.3 validiert benutzerdefinierte MCP-stdio-Umgebungsvariablen gegen eine Sperrliste mit einer fall-sensitiven Prüfung. Auf Windows-Systemen, wo Umgebungsnamen fall-unabhängig sind, umgeht die Angabe von ’node_options‘ den Eintrag NODE_OPTIONS in der Sperrliste. Ein authentifizierter Nutzer mit Berechtigung zur Konfiguration eines benutzerdefinierten MCP-Knotens kann so NODE_OPTIONS –require injizieren und beliebigen Code im Flowise-Serverkontext ausführen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58057
  • Für wen relevant: Betreiber von Flowise-Instanzen mit benutzerdefinierten MCP-Knoten. (für KMU: niedrig – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die vollständige Kompromittierung des Flowise-Servers und aller damit verbundenen Daten.
  • Quelle: NVD

nghttp2 nghttpx: HTTP-Request-Smuggling durch unsichere Weiterleitung

Der nghttp2-Proxy nghttpx bis Version 1.69.0 leitet HTTP/1.1-Upgrade-Anfragen mit Content-Length-Header und -Body auf wiederverwendbare Keep-Alive-Backend-Verbindungen weiter. Dabei werden Upgrade- und Connection-Header erneut hinzugefügt, während Content-Length unverändert bleibt. Ein Backend, das die resultierende mehrdeutige Nachricht im Sinne des Angreifers auflöst, ermöglicht HTTP-Request/Response-Smuggling und Cross-Client-Response-Queue-Poisoning.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-58055
  • Für wen relevant: Betreiber von nghttp2 nghttpx als Reverse-Proxy oder Load-Balancer. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit kann zu Datenlecks, Session-Hijacking oder der Umgehung von Sicherheitsmaßnahmen führen.
  • Quelle: NVD

SourceCodester Class and Exam Timetabling System – mehrere Stellen betroffen

Bei SourceCodester Class and Exam Timetabling System sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. SourceCodester Class and Exam Timetabling System: SQL-Injection in preview.php

In SourceCodester Class and Exam Timetabling System 1.0 führt eine Manipulation des Arguments course_year_section in der Datei /preview.php zu einer SQL-Injection. Der Angriff kann remote initiiert werden. Der Exploit wurde öffentlich gemacht und könnte bereits genutzt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13485
  • Für wen relevant: Betreiber von SourceCodester Class and Exam Timetabling System 1.0. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf oder die Manipulation der Datenbank, einschließlich sensibler Informationen.
  • Quelle: NVD

2. SourceCodester Class and Exam Timetabling System: SQL-Injection in preview6.php

In SourceCodester Class and Exam Timetabling System 1.0 führt eine Manipulation des Arguments course_year_section in der Datei /preview6.php zu einer SQL-Injection. Der Angriff kann remote gestartet werden. Der Exploit wurde öffentlich veröffentlicht und könnte bereits genutzt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13486
  • Für wen relevant: Betreiber von SourceCodester Class and Exam Timetabling System 1.0. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf oder die Manipulation der Datenbank, einschließlich sensibler Informationen.
  • Quelle: NVD

3. SourceCodester Class and Exam Timetabling System: SQL-Injection in archive.php

In SourceCodester Class and Exam Timetabling System 1.0 führt eine Manipulation des Arguments sy in der Datei /archive.php zu einer SQL-Injection. Der Angriff kann remote initiiert werden. Der Exploit wurde öffentlich verfügbar gemacht und könnte bereits genutzt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13487
  • Für wen relevant: Betreiber von SourceCodester Class and Exam Timetabling System 1.0. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf oder die Manipulation der Datenbank, einschließlich sensibler Informationen.
  • Quelle: NVD

4. SourceCodester Class and Exam Timetabling System: SQL-Injection in preview7.php

In SourceCodester Class and Exam Timetabling System 1.0 führt eine Manipulation des Arguments course_year_section in der Datei /preview7.php zu einer SQL-Injection. Der Angriff kann remote gestartet werden. Der Exploit wurde öffentlich freigegeben und könnte bereits genutzt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13488
  • Für wen relevant: Betreiber von SourceCodester Class and Exam Timetabling System 1.0. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf oder die Manipulation der Datenbank, einschließlich sensibler Informationen.
  • Quelle: NVD

Restaurant-Management-System: SQL-Injection in forgotpassword.php

Im yashpokharna2555 Restaurant-Management-System führt eine Manipulation des POST-Parameters email in der Datei /forgotpassword.php zu einer SQL-Injection. Der Angriff kann remote initiiert werden. Der Exploit wurde öffentlich gemacht und könnte bereits genutzt werden. Der Hersteller wurde frühzeitig informiert, hat jedoch nicht reagiert.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13498
  • Für wen relevant: Betreiber des yashpokharna2555 Restaurant-Management-Systems. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf oder die Manipulation der Datenbank, einschließlich sensibler Informationen wie Benutzerdaten.
  • Quelle: NVD

ANTLR4 – mehrere Stellen betroffen

Bei ANTLR4 sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. ANTLR4: Pfad-Traversal durch manipulierte TokenVocab-Option

In ANTLR4 bis Version 4.13.2 führt eine Manipulation der Funktion getImportedVocabFile in der Datei tool/src/org/antlr/v4/parse/TokenVocabParser.java zu einem Pfad-Traversal. Der Angriff kann remote ausgeführt werden. Der Exploit wurde öffentlich gemacht und könnte bereits genutzt werden. Der Hersteller wurde frühzeitig informiert, hat jedoch nicht reagiert.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13503
  • Für wen relevant: Entwickler und Nutzer von ANTLR4 zur Grammatikverarbeitung. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht den Zugriff auf Dateien außerhalb des vorgesehenen Verzeichnisses und damit potenziell die Offenlegung sensibler Daten.
  • Quelle: NVD

2. ANTLR4: Code-Injection durch manipulierte Grammatik-Aktionen

In ANTLR4 bis Version 4.13.2 kann eine Manipulation der Datei tool/src/org/antlr/v4/codegen/model/OutputFile.java zu einer Code-Injection führen. Der Angriff kann remote gestartet werden. Der Exploit wurde öffentlich verfügbar gemacht und könnte bereits genutzt werden. Der Hersteller wurde frühzeitig informiert, hat jedoch nicht reagiert.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 28.06.2026
  • CVE: CVE-2026-13500
  • Für wen relevant: Entwickler und Nutzer von ANTLR4 zur Grammatikverarbeitung. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Exploit ermöglicht die Ausführung beliebigen Codes im Kontext der ANTLR4-Anwendung.
  • Quelle: NVD
Post Views: 142

Ähnliche Beiträge

Security-Briefing 28.06.2026: Kritische und mittlere Lücken in WordPress-Plugins gemeldet

Security-Briefing 26.06.2026: Kritische Schwachstellen in Flowise, Cisco, WordPress-Plugins und Chrome-Browser-Updates

Security-Briefing 25.06.2026: Kritische Schwachstellen in n8n, WordPress-Plugins und IBM-Produkten

Über Julka

Zeige alle Beiträge von Julka →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert