Sicherheit & Risiko
50 Analysen
Ein Fehler in der Policy SetIntegrationRequest von Apigee erhielt 9,2 im CVSS und ermöglicht die Exfiltration von Dienstkontotoken, hängt jedoch von einer vorher unsicheren Konfiguration im API-Proxy ab.
Eine gefälschte Anfrage ermöglicht die Ausführung von Code ohne Authentifizierung in den Web Server Plug-ins von WebSphere 8.5 und 9.0. Am selben Tag veröffentlichte IBM einen weiteren Fehler mit 9,8 im Engineering Lifecycle Management.
Ein Schwachstelle im virt-handler von KubeVirt ermöglicht es einem Benutzer mit Bearbeitungsrechten in einem einzigen Namespace, den CRI-O-Socket zu kapern und den gesamten Knoten zu gefährden. Red Hat hat für die Versionen ab 4.12 Sicherheitsbulletins veröffentlicht.
Eine Authentifizierungsschwäche im GitHub Enterprise Server erhielt 9,2 im CVSS und ermöglicht die Umleitung interner Anfragen zum Auslesen von Anmeldeinformationen. Korrekturen sind in den Builds 3.16.20, 3.17.17, 3.18.11 und 3.19.8 verfügbar.
In der Nacht vom 22. Mai hat ein Agent mit organisatorischem Zugriff auf GitHub 502 historische Tags von vier PHP-Paketen neu geschrieben und ein Backdoor injiziert, das Cloud-Anmeldeinformationen, CI/CD-Token und Kubernetes-Secrets ohne sichtbare Warnungen exfiltriert.
Die Erpressungsgruppe CoinbaseCartel hat am 22. Mai 2026 Zugriff auf die Domain panasonic.aero beansprucht. Panasonic Avionics beliefert über 200 Fluggesellschaften und deckt etwa 70 % der globalen Flotte von Flugzeugen mit IFE-Systemen ab.
Der CISO von GitHub attribuierte am Donnerstag die Infiltration von 3.800 internen Repositories einer bösartigen Version der Nx Console-Erweiterung für VS Code, die mit dem Lieferkettenangriff gegen npm-Pakete von TanStack am 11. Mai verbunden war.
Die Gruppe TeamPCP hat ein Gerät eines GitHub-Mitarbeiters mit einer manipulierten VS Code-Erweiterung kompromittiert, um etwa 3.800 interne Repositories zu exfiltrieren. Das Unternehmen bestätigt, dass Kundendaten nicht betroffen waren.
Ohne Authentifizierung erforderlich, erhielt die CVE-2026-9082 eine Bewertung von 20/25 im Risiko-System von Drupal und kann zur Ausführung von Remote-Code in Installationen mit PostgreSQL führen. Patch ist seit diesem Donnerstag verfügbar.
Die Gruppe Nitrogen beansprucht die Exfiltration von 8 TB in 11 Millionen Dateien von Foxconn, darunter technische Zeichnungen von Apple, Google und Nvidia. AppleInsider hat heute die Anwesenheit von Apple-Server-Schemata im geleakten Material bestätigt.
Kritische Verwundbarkeit CVE-2026-42945, die seit 2008 im NGINX vorhanden ist, wurde drei Tage nach Veröffentlichung eines Proof of Concept aktiv ausgenutzt. Betroffen sind alle Versionen zwischen 0.6.27 und 1.30.0, die 32,8 % der globalen Webserver repräsentieren.
SAP S/4HANA erhält einen Patch für SQL-Injection mit CVSS 9.6 im gleichen Monat, in dem mehr als die Hälfte der globalen Kunden die Migration zur Version abgeschlossen hat. FortiAuthenticator und FortiSandbox werden gegen Access-Control-Schwächen aktualisiert, und n8n hat fünf CVEs mit 9.4 angesammelt.