Zum Inhalt springen

Kritische Patches für Ivanti, Fortinet, SAP, VMware und n8n veröffentlicht

Auf den Punkt: Fünf großer Softwarehersteller patchen kritische Fehler mit CVSS-Werten ab 7,8 – Patches müssen zeitnah eingespielt werden.

Mehrere Hersteller haben Sicherheitslücken behoben, die zum Ausführen von Programmcode, SQL-Injection und Authentifizierungsvorbeigehung führen können. Betroffen sind Ivanti Xtraction, FortiAuthenticator, FortiSandbox, SAP S/4HANA, VMware Fusion und n8n.

Ivanti Xtraction: CVE-2026-8043 (CVSS 9,6) ermöglicht authentifizierten Angreifern, in Xtraction-Versionen vor 2026.2 über externe Kontrolle von Dateinamen sensitive Dateien auszulesen und beliebige HTML-Dateien ins Web-Verzeichnis zu schreiben. Dies führt zu Informationspreisgabe und möglichen clientseitigen Angriffen.

Fortinet: CVE-2026-44277 (CVSS 9,1) ist eine Zugriffskontroll-Lücke in FortiAuthenticator, die unauthifizierten Angreifern die Ausführung von Code ermöglicht. Behoben in Versionen 6.5.7, 6.6.9 und 8.0.3. CVE-2026-26083 (CVSS 9,1) ist eine fehlende Autorisierungsprüfung in FortiSandbox Web UI (und Cloud/PaaS-Varianten), ebenfalls für unauthifizierte RCE über HTTP anfällig. Patches liegen für Versionen 4.4.9, 5.0.2 sowie Cloud 5.0.6 vor.

SAP: CVE-2026-34260 (CVSS 9,6) ist eine SQL-Injection-Lücke in S/4HANA, die einem low-privilegierten authentifizierten Angreifer Datenbankzugriff und Anwendungsabsturz ermöglicht – die Datensicherheit bleibt unbeeinträchtigt, da nur Lesezugriff erlaubt ist. CVE-2026-34263 (CVSS 9,6) betrifft SAP Commerce Cloud und entsteht durch overly permissive Sicherheitskonfiguration mit fehlerhafter Rule-Reihenfolge. Ein unauthifizierter Nutzer kann Konfigurationen hochladen und Code injizieren, was zu beliebiger serverseitiger Code-Ausführung führt.

VMware Fusion: CVE-2026-41702 (CVSS 7,8) ist eine TOCTOU-Lücke (Time-of-check Time-of-use) in einem SETUID-Binary. Ein Nutzer mit lokalen Non-Admin-Rechten kann Privilege Escalation zu Root erreichen. Behoben in Version 26H1.

n8n: Fünf kritische Lücken wurden gepatched. CVE-2026-42231 und CVE-2026-42232 (beide CVSS 9,4) ermöglichen Prototype Pollution über XML in der xml2js-Library bzw. im XML-Node – ein authentifizierter Workflow-Ersteller kann RCE auf dem n8n-Host erzielen. CVE-2026-44791 (CVSS 9,4) ist ein Bypass für CVE-2026-42232, ebenfalls mit RCE-Folge. Alle behoben in n8n-Versionen 1.123.32, 2.17.4 und 2.18.1.


Quelle: ainews-dev.lumi-systems.io · Erschienen 18. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.

Share on: