Aufgrund einer Sicherheitslücke können Angreifer WordPress-Websites, auf denen das Plugin „Ally – Web Accessibility & Usability“ installiert ist, attackieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

SQl Injection

Über die Schwachstelle (CVE-2026-2413, Risiko „hoch“) berichten Sicherheitsforscher von Wordfence in einem Beitrag. Aufgrund von unzureichenden Überprüfungen können Angreifer ohne Authentifizierung über präparierte URLs eigene SQL-Befehle ausführen. Klappt eine solche Attacke, haben Angreifer Zugriff auf eigentlich abgeschottete Daten wie Passwort-Hashes.

Wie aus der Plugin-Website hervorgeht, weist Ally 400.000 aktive Installationen auf. Diese Websites sind potenziell angreifbar. Die Entwickler versichern, die Lücke in Ally – Web Accessibility & Usability 4.1.0 geschlossen zu haben. Davon sollen alle Ausgaben bis inklusive 4.0.3 bedroht sein.

Die Sicherheitsforscher geben an, dass die Schwachstelle Anfang Februar über ihr Bug-Bounty-Programm gemeldet wurde. Das Sicherheitsupdate haben die Entwickler dann Ende Februar veröffentlicht.

(des)

In der Backup-Software Veeam Backup & Replication haben die Programmierer mehrere, teils sogar kritische Sicherheitslücken entdeckt. Sie erlauben Angreifern unter anderem, beliebigen Code einzuschleusen und auszuführen. Updates bessern die Schwachstellen aus.

Veeam hat zwei Sicherheitsmeldungen veröffentlicht. In der ersten Mitteilung listet das Unternehmen die Sicherheitslecks auf, die das Update auf Veeam Backup & Replication 12.3.2.4465 schließt. Details nennt Veeam jedoch nicht, sondern lediglich die Auswirkungen. Zwei Lücken ermöglichen etwa authentifizierten Domain-Usern, Schadcode aus dem Netz auf dem Backup-Server auszuführen (CVE-2026-21666, CVE-2026-21667, beide CVSS 9.9, Risiko „kritisch“). Angemeldete Domain-Nutzer können zudem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories manipulieren (CVE-2026-21668, CVSS 8.8, Risiko „hoch“). Auf Windows-basierten Backup & Replication-Servern ist zudem die Ausweitung der Rechte möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch“). IT-Verantwortliche mit Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 sollen auf die neue Version aktualisieren.

Eine zweite Sicherheitsmitteilung fasst die Schwachstellen zusammen, die die Version Veeam Backup & Replication 13.0.1.2067 ausbessert. Auch hier können angemeldete Domain-User Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21669, CVSS 9.9, Risiko „kritisch“). In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können User mit Backup-Admin-Rolle beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“). Die Rechteausweitungslücke CVE-2026-21672 betrifft auch den 13er-Entwicklungszweig. Außerdem können Nutzer mit niedrigen Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch“).

Veeam: Schwachstellen in allen Versionen

In den 12er- und 13er-Fassungen von Veeam finden sich zudem gemeinsame Sicherheitslücken. Nutzer, die in der Backup-Viewer-Rolle aktiv sind, können zudem Code aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Die Version passt zudem noch den Port-Range des Veeam Agent für Linux an den von anderen Veeam-Produkten an, er liegt nun zwischen 2500 und 3000. Veeam gibt an, dass die Lücken in internen Tests und über Einreichungen über die Bug-Bounty-Plattform HackerOne gefunden wurden. Eine öffentliche Ausnutzung berichtet der Hersteller nicht.

IT-Verantwortliche sollten sich zügig um die Aktualisierung ihrer Veeam-Systeme kümmern. Die kritischen Sicherheitslücken bieten Angreifern andernfalls eine Angriffsfläche. Zuletzt hatte Veeam mehrere Schwachstellen in der Backup-Software im Januar korrigiert.

(dmk)

In der Nacht zum Freitag hat Google ein Notfallupdate für den Webbrowser Chrome veröffentlicht. Darin schließen die Entwickler zwei hochriskante Sicherheitslücken, die bereits im Internet angegriffen werden.

In der Versionsankündigung schreibt Google, dass eine Schwachstelle in der Grafikbibliothek Skia von Chrome durch das Rendern von sorgsam präparierten Webseiten auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so Speicherinhalte schreiben kann (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Die zweite Sicherheitslücke befindet sich in der JavaScript-Engine V8 und ermöglicht Angreifern aufgrund einer „unangemessenen Implementierung“, bei der Anzeige einer manipulierten Webseite beliebigen Code in einer Sandbox auszuführen (CVE-2026-3910, kein CVSS-Wert, Risiko laut Google „hoch“).

„Google ist bekannt, dass Exploits für beide, CVE-2026-3909 und CVE-2026-3910, in freier Wildbahn existieren“, ergänzen die Entwickler. Über Art und Umfang der Angriffe schweigen sie sich jedoch aus. Sie listen keine weiteren Sicherheitslücken auf, die die aktualisierte Fassung behandeln würde. Wer Chrome nutzt, sollte umgehend sicherstellen, dass der Webbrowser auf aktuellem Stand ist.

Chrome: Fehlerbereinigte Versionen

Die Versionen Chrome 146.0.7680.115 für Android, 146.0.7680.75 für Linux und 146.0.7680.75/76 für macOS und Windows schließen die bereits im Internet attackierten Sicherheitslücken. Unter Android liefert Googles Play Store das Update – allerdings oftmals stark verzögert; die Aktualisierung lässt sich hier nicht erzwingen, wenn die neue Fassung noch nicht angeboten wird. Unter Linux müssen Chrome-Nutzer in der Regel die Softwareverwaltung der Distribution starten und nach Updates suchen lassen. In Windows zeigt der Versionsdialog die aktuell laufende Softwareversion und bietet bei Verfügbarkeit die Installation des Updates an. Der öffnet sich nach Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste, dort dann weiter über „Hilfe“ – „Über Google Chrome“.

Erst in der Nacht zum Donnerstag dieser Woche wurde bekannt, dass das planmäßige Chrome-Update vom Mittwoch auf den 146er-Entwicklungszweig insgesamt 29 Sicherheitslecks abgedichtet hat. Eine davon galt sogar als kritische Bedrohung.

(dmk)