In der aktuellen Version von SmarterTools SmarterMail haben die Entwickler insgesamt acht Sicherheitsprobleme gelöst. Angreifer können Instanzen etwa mit DoS-Attacken ins Visier nehmen oder sogar Zugangsdaten einsehen.

Ansatzpunkte für Angreifer

Das geht aus dem Changelog zur aktuellen Ausgabe SmarterMail Build 9575 hervor. Die Beschreibungen der Schwachstellen sind äußerst knapp gehalten, und es gibt auch keine CVE-Nummern.

Den verfügbaren Informationen zufolge haben die Entwickler unter anderem Schwachstellen bei der Authentifizierung im Kontext von 2FA-Endpoints und SMTP gelöst. Ferner geben sie an, Zugangsdaten effektiver abgesichert und die Angriffsfläche für DoS-Attacken verkleinert zu haben.

Das Notfallteam CERT Bund vom BSI stuft das Sicherheitsrisiko als „hoch“ ein.

(des)

In den Citrix-Produkten „Netscaler ADC“ (Application Delivery Controller) und „Gateway“ behob der Hersteller „Cloud Software Group“ zwei Sicherheitslücken, eine davon mit kritischer Einstufung. Die Fehler waren bei einer internen Überprüfung aufgefallen, Updates sind bereits erschienen. Citrix-Kunden sollten zügig prüfen, ob sie betroffen sind und ihre Appliances aktualisieren.

Die beiden Sicherheitslücken im Einzelnen:

• CVE-2026-3055: Ungenügende Eingabevalidierung führt zu überlangem Speicher-Lesezugriff (CVSS v4 9.3/10, kritisch)
• CVE-2026-4368: Eine Wettlaufsituation (Race Condition) kann zur Vertauschung von Nutzersitzungen führen (CVSS v4 7.7/10, hoch)

Droht CitrixBleed 3?

Details muss der geneigte Leser des Citrix-Sicherheitshinweises mit der Lupe suchen, doch gemahnen einige Details an die fatale Sicherheitslücke CitrixBleed 2 aus dem Jahr 2025. Auch diese bestand aus einem Speicherleck, das Angreifer aus der Ferne nutzen konnten, um Zugangstokens abzugreifen. In Verbindung mit der nun zusätzlich gemeldeten Race Condition könnten sie diese gezielt nutzen, um bestimmte Nutzerkonten zu übernehmen.

Admins sollten zügig auf die aktualisierten Versionen updaten:

• NetScaler ADC und NetScaler Gateway 14.1-66.59 oder neuer,
• NetScaler ADC und NetScaler Gateway 13.1-62.23 oder neuere Releases aus dem Versionsbaum 13.1,
• Für FIPS-zertifizierte Instanzen sind die Fehler in NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.262 sowie neueren Versionen von 13.1-FIPS und 13.1-NDcPP behoben.

(cku)

Nutzen Angreifer eine „kritische“ Sicherheitslücke im Authentifizierungs- und Zugriffskontroll-Framework VMware Tanzu Spring Security aus, können sie auf eigentlich geschützte Daten zugreifen. Weitere Softwareschwachstellen gefährden Spring Boot und Framework. Bislang gibt es keine Berichte zu Attacken. Sicherheitsupdates schaffen Abhilfe.

Instanzen vor möglichen Angriffen schützen

Wie aus einer Warnmeldung hervorgeht, sind von der „kritischen“ Lücke (CVE-2026-22732) in Spring Security auch nicht mehr im Support befindliche Versionen bedroht. Im Umgang mit HTTP-Headern kann es zu Fehlern kommen, sodass Angreifer unrechtmäßig auf sensible Daten zugreifen können. Dagegen sind den Entwicklern zufolge die Ausgaben 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9 und 7.0.4 geschützt.

Im Kontext von Spring Boot können Angreifer unter anderem die Authentifizierung umgehen (etwa CVE-2026-22731 „hoch“). An dieser Stelle sind die Versionen 2.7.32, 3.3.18, 3.4.15, 3.5.12 und 4.0.4 repariert. Nach Attacken auf Spring Framework können Informationen leaken (CVE-2026-22737 „mittel“). Die Schwachstelle ist in den Ausgaben 5.3.47, 6.1.26, 6.2.17 und 7.0.6 geschlossen.

(des)