Security-Briefing 16.07.2026: Kritische Schwachstellen in ServiceNow AI, open-webui und weiteren Produkten

Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

open-webui: Kritische Cross-Origin-Schwachstelle

Die open-webui-Software vor Version 0.3.14 enthält eine fehlerhafte Cross-Origin-Resource-Sharing-Konfiguration, die beliebige Ursprungsdomänen mit der Einstellung allow_origins=* zulässt. Angreifer können durch manipulierte Cross-Site-Anfragen an das /api/v1/functions-Endpunkt Code auf der open-webui-Instanz ausführen, wenn ein Admin-Benutzer eine entsprechend präparierte Website besucht.

  • Priorität: Hoch (kritisch (CVSS 9.0))
  • Datum: 15.07.2026
  • CVE: CVE-2026-56400
  • Für wen relevant: Betreiber von open-webui-Instanzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff ermöglicht die Ausführung beliebigen Codes auf dem betroffenen System und damit potenziell die Übernahme der Instanz.
  • Quelle: NVD

phpMyFAQ: Privilegieneskalation durch API-Schwachstelle

phpMyFAQ enthält vor Version 4.1.5 eine Schwachstelle im API-Endpunkt user/add, die eine Privilegieneskalation ermöglicht. Nicht-SuperAdmin-Administratoren mit bestimmten Berechtigungen können SuperAdmin-Konten erstellen. Durch die Nutzung von POST /admin/api/user/add mit isSuperAdmin: true und selbstgewählten Anmeldedaten kann ein Angreifer ein SuperAdmin-Konto anlegen und die gesamte Instanz übernehmen.

  • Priorität: Erhöht (hoch (CVSS 8.7))
  • Datum: 15.07.2026
  • CVE: CVE-2026-57996
  • Für wen relevant: Betreiber von phpMyFAQ-Instanzen mit delegierten Administratoren und USER_ADD/EDIT/DELETE-Berechtigungen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Lücke ermöglicht die vollständige Übernahme der phpMyFAQ-Instanz, einschließlich aller Daten und Benutzerkonten.
  • Quelle: NVD

Symfony: Schwachstelle in der Runtime-Parameterverarbeitung

Symfony enthält eine Schwachstelle in der Verarbeitung von Runtime-Parametern, die durch manipulierte Query-Strings ausgenutzt werden kann. Dabei können Angreifer die Umgebungsvariablen APP_ENV oder APP_DEBUG ändern, was zu unerwartetem Verhalten oder Sicherheitsumgehungen führen kann. Die Lücke betrifft bestimmte Versionen des PHP-Frameworks und seiner Komponenten.

  • Priorität: Erhöht (hoch (CVSS 8.3))
  • Datum: 15.07.2026
  • CVE: CVE-2026-47767, CVE-2024-50340
  • Für wen relevant: Entwickler und Betreiber von Anwendungen, die auf dem Symfony-Framework basieren. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Ausnutzung könnte zu unautorisierten Änderungen der Anwendungskonfiguration oder Sicherheitsumgehungen führen.
  • Quelle: NVD

Symfony – mehrere Stellen betroffen

Bei Symfony sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. Symfony: Command-Line-Injection durch SendmailTransport

Symfony ist ein PHP-Framework für Web- und Konsolenanwendungen. Vor den Versionen 5.4.52, 6.4.40, 7.4.12 und 8.0.12 hängt der SendmailTransport im -t-Modus Empfängeradressen ohne einen —End-of-Options-Trennstrich an den sendmail-Befehl an. Dies ermöglicht es einer Adresse, die mit einem Bindestrich beginnt, als sendmail-Befehlszeilenoption interpretiert zu werden. Die Lücke ist in den genannten Versionen behoben.

  • Priorität: Erhöht (hoch (CVSS 8.7))
  • Datum: 15.07.2026
  • CVE: CVE-2026-45068
  • Für wen relevant: Entwickler und Betreiber von Anwendungen, die Symfony mit SendmailTransport in den betroffenen Versionen nutzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Schwachstelle kann zur Ausführung beliebiger Befehle auf dem Server führen, was zu einer vollständigen Systemkompromittierung führen kann.
  • Quelle: NVD

2. Symfony: Unauthentifizierte Deserialisierung im Server-Log-Listener

Symfony bindet den Server-Log-Listener (ServerLogCommand) standardmäßig an 0.0.0.0:9911 und verarbeitet eingehende Frames mit unserialize(base64_decode($message)) ohne Authentifizierung, Integritätsprüfungen oder eine erlaubte Klassenliste. Dies ermöglicht jedem erreichbaren Host, serialisierte PHP-Payloads einzusenden, die den Listener zum Absturz bringen oder Object-Injection-Effekte auslösen können. Die Lücke ist in den Versionen 5.4.52, 6.4.40, 7.4.12 und 8.0.12 behoben.

  • Priorität: Erhöht (hoch (CVSS 8.3))
  • Datum: 15.07.2026
  • CVE: CVE-2026-45077
  • Für wen relevant: Betreiber von Anwendungen, die den Symfony Server-Log-Listener in den betroffenen Versionen einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Schwachstelle kann zu Remote-Code-Ausführung, Denial-of-Service oder vollständiger Systemübernahme führen.
  • Quelle: NVD

3. Symfony: Rekursive YAML-Parser-Expansion führt zu Speicherüberlauf

Symfony enthält vor den Versionen 5.4.52, 6.4.40, 7.4.12 und 8.0.12 einen YAML-Parser, der Collection-Aliase rekursiv auflöst. Dadurch kann eine kleine, nicht vertrauenswürdige YAML-Eingabe zu einer mehrgigabytegroßen Struktur expandieren und den Arbeitsspeicher erschöpfen. Die Lücke ist in den genannten Versionen behoben.

  • Priorität: Erhöht (hoch (CVSS 8.7))
  • Datum: 15.07.2026
  • CVE: CVE-2026-45304
  • Für wen relevant: Entwickler und Betreiber von Anwendungen, die Symfony mit YAML-Parsing in den betroffenen Versionen nutzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Die Schwachstelle kann zu einem Denial-of-Service durch Speicherüberlauf führen, was die Verfügbarkeit der Anwendung beeinträchtigt.
  • Quelle: NVD

Gravity Forms für WordPress: Kritische Directory-Traversal-Lücke

Das WordPress-Plugin Gravity Forms ist bis einschließlich Version 2.10.4 anfällig für Directory-Traversal-Angriffe über den Parameter gform_uploaded_files. Unauthentifizierte Angreifer können dadurch den Inhalt beliebiger Dateien auf dem Server auslesen, sofern das betroffene Formular öffentlich zugänglich ist und keine Anmeldung erfordert. Die ausgelesenen Dateien können sensible Informationen enthalten.

  • Priorität: Erhöht (hoch (CVSS 7.5))
  • Datum: 15.07.2026
  • CVE: CVE-2026-12997
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Gravity Forms-Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff ermöglicht den unautorisierten Zugriff auf sensible Serverdateien und damit potenziell den Diebstahl von Daten oder Zugangsdaten.
  • Quelle: NVD

Drupal: Kritische Cross-Site-Scripting-Lücke im Layout Builder

Das Drupal-Layout-Builder-Modul bereinigt Block-Labels in bestimmten Szenarien nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer könnte diese Lücke ausnutzen, um schädlichen Code im Kontext des betroffenen Nutzers auszuführen. Voraussetzung ist, dass sowohl Angreifer als auch Zielperson die Layout-Builder-Bearbeitungsoberfläche nutzen.

  • Priorität: Hoch (kritisch)
  • Datum: 15.07.2026
  • CVE: CVE-2026-55805
  • Für wen relevant: Betreiber von Drupal-Websites mit aktiviertem Layout-Builder-Modul. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zu unautorisierten Datenzugriffen, Session-Übernahmen oder der Ausführung beliebigen Codes im Kontext des Nutzers führen.
  • Quelle: Drupal Security

Drupal Core: Cross-Site-Scripting durch HTMX-Integration

Drupal Core integriert ab Version 11.3.0 die HTMX JavaScript-Bibliothek. Der XSS-Filter des Systems sanitiert bestimmte HTMX-Attribute nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer muss in der Lage sein, HTML mit spezifischen Attributen einzufügen, um die Lücke auszunutzen. Betroffen sind Versionen ab 11.3.0 bis 11.4.3 sowie 11.2.x. Drupal 10 ist nicht betroffen, erhält jedoch ein Sicherheitsupdate für bestimmte Contributed-Module.

  • Priorität: Hoch (kritisch)
  • Datum: 15.07.2026
  • CVE: CVE-2026-15917
  • Für wen relevant: Betreiber von Websites, die Drupal Core in den Versionen 11.3.x, 11.4.x oder 11.2.x einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Schwachstelle ermöglicht die Ausführung von bösartigem JavaScript im Kontext der betroffenen Website, was zu Datenmanipulation, Session-Hijacking oder weiterführenden Angriffen führen kann.
  • Quelle: Drupal Security

ServiceNow AI-Plattform: Kritische Remote-Code-Ausführung

ServiceNow hat eine Schwachstelle in der ServiceNow AI-Plattform behoben, die eine Remote-Code-Ausführung ermöglicht. Diese Lücke könnte es einem unauthentifizierten Nutzer unter bestimmten Umständen ermöglichen, Code innerhalb der ServiceNow-Plattform auszuführen. Der Hersteller hat das Problem durch ein Sicherheitsupdate für gehostete Instanzen behoben und relevante Patches auch an selbstgehostete Kunden sowie Partner verteilt. Aktuell ist keine Ausnutzung der Schwachstelle bekannt.

  • Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
  • Datum: 15.07.2026
  • CVE: CVE-2026-6875, CVE-2026-14902, CVE-2026-14903
  • Für wen relevant: Unternehmen, die die ServiceNow AI-Plattform einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zu unautorisierten Code-Ausführungen und damit verbundenen Datenmanipulationen oder Systemübernahmen führen.
  • Quelle: SecurityWeek

Apple macOS: Mehrere kritische Schwachstellen

Ein Angreifer kann mehrere Schwachstellen in Apple macOS ausnutzen, um Informationen offenzulegen, Denial-of-Service-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren oder seine Privilegien zu erhöhen.

  • Priorität: Hoch (kritisch)
  • Datum: 15.07.2026
  • Für wen relevant: Nutzer und Administratoren von Apple macOS-Systemen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Ausnutzung der Schwachstellen kann zu Datenverlust, Systemausfällen oder unautorisierten Systemzugriffen führen.
  • Quelle: BSI CERT-Bund

SonicWall SMA1000: Zero-Day-Lücken ermöglichen Angriffe

SonicWall warnt vor Angriffen auf teils höchst kritische Zero-Day-Lücken in SMA1000-Appliances. Der Hersteller bietet einen Hotfix sowie Indicators of Compromise (IOCs) zur Erkennung möglicher Angriffe an. Die Schwachstellen ermöglichen unautorisierte Zugriffe und potenzielle Systemübernahmen.

  • Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
  • Datum: 15.07.2026
  • Für wen relevant: Unternehmen, die SonicWall SMA1000-Appliances einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Lücken können zu unautorisierten Zugriffen, Datenverlust oder vollständiger Systemkompromittierung führen.
  • Quelle: heise Security

Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert