Die Extended-Detection-and-Repsonse- (XDR) und Security-Information-and-Event-Management-Plattform (SIEM) Wazuh ist verwundbar. Angreifer können die Open-Source-Anwendung über insgesamt fünf Sicherheitslücken attackieren.

Schadcode-Attacken möglich

Wie aus dem Sicherheitsbereich der GitHub-Website von Wazuh hervorgeht, ist eine Schwachstelle (CVE-2026-30893) mit dem Bedrohungsgrad „kritisch“ eingestuft. Im Zuge einer Path-Traversal-Attacke können Angreifer unbefugt auf eigentlich geschützte Pfade zugreifen.

Im Anschluss ist es den Entwicklern zufolge möglich, dass Angreifer Python-Module manipulieren, die dann verschiedene Wazuh-Komponenten laden. So kann es zur Ausführung von Schadcode kommen. Im Anschluss gelten Systeme als kompromittiert.

Die verbleibenden Sicherheitslücken sind mit „mittel“ eingestuft. Darüber kann es etwa zu Abstürzen kommen (unter anderem CVE-2026-41499). Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 4.14.4 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.

(des)

Facebook und Instagram tun zu wenig, um Kinder unter 13 Jahren von ihren Plattformen fernzuhalten. Das hat die Europäische Kommission heute nach zwei Jahren Untersuchung vorläufig festgestellt. Die beiden Plattformen des Mutterkonzerns Meta hätten Risiken für Minderjährige nicht sorgfältig genug identifiziert und damit gegen Auflagen des Gesetzes über Digitale Dienste (DSA) verstoßen.

Die Ansage fällt in eine Zeit, in der die EU-Kommission unter großem Druck steht, EU-weit wirksame Alterskontrollen durchzusetzen. Unter anderem Frankreich, Dänemark und Griechenland haben Social-Media-Verbote für Kinder und Jugendliche angekündigt. Sie fordern von der EU, die Plattformen zu harten Alterskontrollen zu zwingen. Auch Bundeskanzler Friedrich Merz (CDU) und mehrere deutsche Minister*innen haben Sympathien für ein solches Verbot bekundet. Die Entwicklung hat Fahrt aufgenommen, nachdem Australien als erster Staat weltweit Kindern und Jugendlichen unter 16 Jahren den Zugang zu Social Media verwehrt hatte.

Parallel zu der Ankündigung stellte die EU heute Vormittag neue Leitlinien für den Einsatz ihrer Altersverifikations-App vor. “Unsere Lösung zur Altersverifikation muss Hand in Hand mit der starken Durchsetzung des DSA gehen”, sagte Digitalkommissarin Henna Virkkunen in einem Pressestatement, bevor sie zu den Untersuchungsergebnissen zu Meta überleitete.

Die App soll laut Kommissionspräsidentin Ursula von der Leyen “fertig” sein, wird allerdings von Sicherheitsexpert*innen massiv kritisiert, weil sie unsicher und leicht manipulierbar sei. Fachleute warnen zudem seit Monaten vor den Konsequenzen harter Alterskontrollen im Internet. Die damit geschaffene Infrastruktur sei unsicher und gefährde die Anonymität im Internet.

Vorbeugen, identifizieren, entfernen

Das Gesetz über digitale Dienste sieht keine Pflicht zu Alterskontrollen vor, sondern empfiehlt diese als eine mögliche Maßnahme, mit der Plattformen das Risiko für Kinder und Jugendliche mindern und sich an die Auflagen halten können.

Konkret wirft die Kommission Meta vor, entgegen der eigenen Geschäftsbedingungen, die ein Mindestalter von 13 Jahren vorsehen, Konten zu lax zu prüfen. Kinder unter 13 Jahren könnten bei der Registrierung einfach ein falsches Geburtsdatum angeben und sich so Zugang verschaffen. Auch seien die Möglichkeiten, Konten von Minderjährigen zu melden, zu kompliziert und die Meldungen würden nicht konsequent verfolgt.

Die Kommission zweifelt auch an der Risikobewertung, die Meta wie alle großen Plattformen im Rahmen des DSA abgeben musste. Die Bewertung widerspreche Erhebungen, die darauf hindeuteten, dass etwa 10 bis 12 Prozent der Kinder unter 13 Jahren auf Instagram oder Facebook zugreifen. Meta müssen seine Maßnahmen “stärken”, um solchen Registrierungen vorzubeugen, entsprechende Konten zu identifizieren und zu entfernen. Die Untersuchungsergebnisse seien vorläufig und keine finale Bewertung, sagte die Kommission.

Meta widerspricht

Meta widerspricht den Feststellungen: „Wir stellen klar, dass Instagram und Facebook für Personen ab 13 Jahren bestimmt sind, und wir haben Maßnahmen getroffen, um Konten von Personen unter diesem Alter zu erkennen und zu löschen“, erklärte ein Sprecher. Das Unternehmen werde weiterhin mit der EU zusammenarbeiten.

Der Konzern kann nun schriftlich auf die Vorwürfe reagieren und Einwände vorbringen. Gelangt die Kommission im nächsten Schritt dennoch zu dem Schluss, dass die Maßnahmen nicht ausreichen, droht eine Geldbuße von maximal 6 Prozent des weltweiten Jahresumsatzes. Meta verzeichnete für das Jahr 2025 einen Umsatz von 201 Milliarden US-Dollar.

Die Kommission hat die Untersuchung gegen Meta bereits im Jahr 2024 angestoßen. Parallel zum aktuellen Verfahren zum Schutz von Minderjährigen laufen weitere Untersuchungen, unter anderem zu süchtigmachenden Mustern auf Facebook und Instagram sowie Melde- und Beschwerdesysteme für illegale Inhalte.

Admins, die für ihre Webserver auf nginx-Basis die Weboberfläche Nginx UI nutzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und im schlimmsten Fall Systeme vollständig kompromittieren.

Admin-Attacken möglich

Eine Schwachstelle (CVE-2026-42238) gilt als „kritisch“. Weil bei jeder Neuinstallation und jedem Neustart die Backup-Restore-Points für zehn Minuten ohne Authentifizierung ansprechbar sind, können entfernte Angreifer manipulierte Backups hochladen. Dabei können sie die Konfigurationsdatei app.ini mit eigenen Befehlen überschreiben und die volle Kontrolle über Instanzen erlangen.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2026-42221 „hoch“) können Angreifer im Zuge der Ersteinrichtung Admin-Accounts kapern. Das soll ohne Authentifizierung möglich sein.

Über die verbleibenden Schwachstellen können unter anderem eigentlich geheime Daten leaken (CVE-2026-42223 „mittel“). Die Entwickler versichern, die Sicherheitsprobleme in Nginx UI 2.3.8 gelöst zu haben. Bislang gibt es keine Hinweise des Softwareherstellers, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten mit dem Patchen aber nicht zu lange zögern. Weiterführende Informationen zu den Sicherheitslücken und wie Angriffe ablaufen könnten, finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Erst kürzlich haben die Entwickler kritische Lücken in dem Web-Managementtool geschlossen.

Die Liste der Schwachstellen, nach Bedrohungsgrad absteigend sortiert:

(des)