Der in Delphi programmierte, schlanke Web-Server TinyWeb für Windows enthält eine Schwachstelle, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen können. Eine aktualisierte Version stopft die Sicherheitslücke.

In der nun veröffentlichten Schwachstellenbeschreibung schreiben die Autoren, dass CGI-Parameter als Kommandozeilenparameter an die CGI-Executable mittels Windows.CreateProcess() übergeben werden, offenbar ungefiltert. Durch das Einfügen von Windows-Shell-Metazeichen in HTTP-Anfragen können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle im Betriebssystem auf dem Server ausführen (CVE-2026-22781, CVSS4 10.0, Risiko „kritisch“).

Eine eigene Sicherheitsmitteilung vom TinyWeb-Programmierer Maxim Masiutin geht weiter in die Details. Beim Verarbeiten von HTTP-Anfragen an CGI-Skripte, die kein Gleichheitszeichen enthalten, betrachtet TinyWeb diese als Anfragen im „ISINDEX“-Format. Die Parameter reicht der Code in dem Fall als Kommandozeilenparameter wie im CVE-Eintrag beschrieben durch. Als Beispiel-Anfrage nennt Masiutin GET /cgi-bin/script.exe?arg1&calc.exe HTTP/1.1. Das „&“-Zeichen interpretiert der Windows-Befehlsprozessor und startet in diesem Fall calc.exe. Weitere gefährliche Zeichen sind demnach | < > ^ ( ) % ! " ' ` ; $. Masiutin berechnet den CVSS-Wert nach CVSS-Standard 3.1 und kommt auf den leicht abweichenden Schweregrad CVSS 9.8, was ebenfalls die Risikoeinstufung „kritisch“ erreicht.

TinyWeb-Update schließt das Sicherheitsleck

Um die Lücke zu missbrauchen, muss im „cgi-bin“-Verzeichnis mindestens ein CGI-Skript liegen. Die Lücke schließt TinyWeb 1.98 aus dem November 2025. Aktuell findet sich im Github-Projekt die Version 1.99 von TinyWeb aus der vergangenen Woche. Die schließt zudem eine weitere Schwachstelle, einen Pufferüberlauf, der in einen Denial of Service mündet (CVE-2024-34199, CVSS 8.6, Risiko „hoch“).

(dmk)

Admins, die mit Gogs Git-Service-Server selbst hosten, sollten die Software umgehend über einen Workaround vor Attacken schützen. Ein Sicherheitsupdate ist bislang nicht verfügbar. Angreifer nutzen die Schadcode-Sicherheitslücke schon seit Juli vergangenen Jahres aus.

Auch hierzulande gibt es verwundbare Server. Nun hat sich die US-Sicherheitsbehörde CISA eingeschaltet und bestätigt die Attacken.

Hintergründe

Wie aus einem Beitrag von Wiz-Sicherheitsforschern aus dem Dezember vergangenen Jahres hervorgeht, haben sie bereits im Juli 2025 erste Attacken beobachtet. Im November gab es ihnen zufolge dann eine zweite Angriffswelle. Im Dezember sprachen sie von weltweit mehr als 1400 öffentlich über das Internet erreichbare Instanzen. Davon sollen mehr als 700 bereits über die Lücke (CVE-2025-8110 „hoch“) attackiert worden sein.

In welchem Umfang die Attacken ablaufen und wann ein Sicherheitsupdate kommt, ist bislang unklar. In ihrem Beitrag führen die Forscher aus, an welchen Parametern Admins bereits attackierte Instanzen erkennen können. Darunter fallen etwa IP-Adressen der Payload-Server.

Attacken sind aber nur für authentifizierte Angreifer möglich. Das ist allerdings keine allzu große Hürde: Standardmäßig ist die Registrierung auf Gogs-Servern nämlich aktiv. Ist das gegeben und die Instanz öffentlich über das Internet erreichbar, sind Attacken möglich.

Im Anschluss umgehen Angreifer den Schutz einer eigentlich geschlossenen Lücke (CVE-2024-55947) und überschreiben mittels eines Symlink-Angriffs Dateien, um anschließend Schadcode auszuführen. Wie das im Detail abläuft, führen die Sicherheitsforscher in ihrem Beitrag aus.

Server schützen

Bislang ist unklar, wann ein Sicherheitspatch erscheint. Um Attacken einzudämmen, müssen Admins die Registrierung abschalten und den Zugriff auf Gogs-Server per VPN auf vertrauenswürdige IP-Adressen einschränken.

(des)

Am Januar-Patchday 2026 hat SAP 17 neue Sicherheitsnotizen herausgegeben. Sie behandeln vier als kritisches Risiko und vier als hochriskant eingestufte Sicherheitslücken in der Business-Software.

Die Patchday-Übersicht von SAP listet die einzelnen Meldungen auf. Am schwersten wiegt demnach eine SQL-Injection-Schwachstelle in SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger) (CVE-2026-0501, CVSS 9.9, Risiko „kritisch“). In SAP Wily Introscope Enterprise Manager (WorkStation) können Angreifer aus dem Netz hingegen Schadcode einschleusen (CVE-2026-0500, CVSS 9.6, Risiko „kritisch“). Außerdem können bösartige Akteure in SAP S/4HANA (Private Cloud and On-Premise) eigenen Code injizieren (CVE-2026-0498, CVSS 9.1, Risiko „kritisch“). Eine gleichlautende Schwachstelle betrifft SAP Landscape Transformation (CVE-2026-0491, CVSS 9.1, Risiko „kritisch“).

Hochriskante SAP-Schwachstellen

In der Datenbank von SAP HANA können Angreifer außerdem eine Rechteausweitungslücke missbrauchen (CVE-2026-0492, CVSS 8.8, Risiko „hoch“). In SAP Application Server for ABAP and SAP NetWeaver RFCSDK können sie Befehle ans Betriebssystem einschleusen (CVE-2026-0507, CVSS 8.4, Risiko „hoch“). In der SAP Fiori App (Intercompany Balance Reconciliation) finden sich drei Sicherheitslücken, von denen mindestens eine mit CVSS-Wert 8.1 als Risiko „hoch“ gilt (CVE-2026-0511, CVE-2026-0496, CVE-2026-0495). Schließlich meldet SAP noch eine fehlende Autorisierungsprüfung in SAP NetWeaver Application Server ABAP and ABAP Platform (CVE-2026-0506, CVSS 8.1, Risiko „hoch“).

Sieben weitere Schwachstellen haben von SAPs Entwicklern die Einordnung als mittleres Risiko erhalten. Zwei Sicherheitslücken betrachten sie zudem als niedrigen Bedrohungsgrad.

IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zeitnah anwenden, um die Angriffsfläche ihrer IT-Landschaft zu reduzieren. Zum vergangenen Patchday im Dezember 2025 hatte SAP 14 Sicherheitsnotizen veröffentlicht. Davon wurden drei als kritisches Sicherheitsrisiko klassifiziert.

(dmk)