Security Advisories
Reale, von turingpoint entdeckte und verantwortungsvoll offengelegte Schwachstellen in weit verbreiteter Open-Source- und Unternehmenssoftware.
Security Research
Veröffentlichte Advisories
turingpoint betreibt aktive Sicherheitsforschung an weit verbreiteter Open-Source- und Unternehmenssoftware. Viele dieser Schwachstellen entstehen direkt während Penetrationstests bei unseren Kunden. Die folgenden Funde wurden von uns identifiziert, im Rahmen einer koordinierten Offenlegung mit den Herstellern abgestimmt und nach Bereitstellung eines Patches als CVE veröffentlicht. Sicherheitsforschung made in Germany.
- OPNsenseCVE-2026-58390Stored XSS über OpenVPN-`common_name` (RADIUS/LDAP) in den Status-Ansichten → Code-Ausführung in der Root-Admin-Sitzung, Eskalation zu Root-RCE8.0 · Hoch
- MalcolmCVE-2026-55676Authentifizierte RCE über unbeschränkten `.php`-Upload in der File-Upload-Komponente (leere Allowlist)8.8 · Hoch
- CronicleCVE-2026-55562Stored XSS im `full_name`-Feld des Aktivitätsprotokolls → Code-Ausführung in der Admin-Sitzung9.0 · Kritisch
- TautulliCVE-2026-45381Reflektiertes XSS im `query`-Parameter von `/search` (unvollständiges Escaping) → API-Key-Diebstahl7.4 · Hoch
- SurrealDBnicht beantragtAuthentifizierter Pfad-Traversal über den `mapper`-Filter eines Analyzers (beliebiges Dateilesen)7.7 · Hoch
- Kanidmnicht beantragtAnonymer Stack-Overflow-Absturz über tief verschachtelten LDAP-Filter auf LDAPS7.5 · Hoch
- Part-DBCVE-2026-54630Authentifizierte RCE über `.phar`-Datei-Upload aus `public/media`9.6 · Kritisch
- FreeScoutCVE-2026-53595Anonyme Account-Übernahme über `/user-setup` mit leerem `invite_hash` (MySQL-Trailing-Space)9.4 · Kritisch
- ts3-managerCVE-2026-54253Reflected XSS im `port`-Parameter von `/api/download` → Diebstahl der Operator-Sitzung und des ServerQuery-Passworts8.2 · Hoch
- StatamicCVE-2026-54243CSV Formula Injection in Formular-Exporten (anonyme Feldwerte ohne `EscapeFormula`-Neutralisierung)6.1 · Mittel
- LemmyCVE-2026-54743Gespeichertes XSS über den Alt-Text von Markdown-Bildern (html5-embed)5.4 · Mittel
- KestraCVE-2026-53576Unauthenticated RCE über `/configs`-Auth-Filter-Bypass → root im Container + Host-Übernahme10.0 · Kritisch
- WekanCVE-2026-52890Arbitrary File Read + DoS über `versions.original.path` bei Attachments7.1 · Hoch
- SiYuanCVE-2026-54070Stored XSS im Bazaar-Marktplatz über die Event-Handler-Sperrliste einer Paket-README (JS im Admin-Origin)7.1 · Hoch
- OpenReplayCVE-2026-55879Unauthentifizierter Stored XSS über Tracker-Eventdaten (`TextEllipsis`-`innerHTML`) → Dashboard-Account-Übernahme via JWT im localStorage9.3 · Kritisch
- OpenReplayCVE-2026-55880Cross-User-IDOR: angemeldeter Nutzer löscht/ändert fremde private Notizen und Dashboard-Widgets (fehlender `user_id`-Check)7.1 · Hoch
- OpenReplayCVE-2026-57230Authentifizierte ClickHouse-SQL-Injection in der Sitzungssuche (Filter `name` + gespeicherter Metadaten-Schlüssel ohne Escaping) → projektfremder Datenzugriff5.4 · Mittel
- NocoBaseCVE-2026-52887Unauthentifizierte SQL-Injection in `/api/myInAppChannels:list` ($lt-Filter) mit Folge PG-Superuser-RCE10.0 · Kritisch
- MastodonCVE-2026-50129Persistenter föderierter DoS über unbehandelten `NoMethodError` im `MATH_TRANSFORMER`7.5 · Hoch
- HoppscotchCVE-2026-59721Admin-RCE über unzureichend validierte `MAILER_SMTP_URL`: nodemailer aktiviert SendmailTransport und führt Befehle als root im Container aus7.2 · Hoch
- BudibaseCVE-2026-54350Anonyme NoSQL-Operator-Injection über veröffentlichte PUBLIC-Abfragen (ungefilterte Parameter im JSON-Body)10.0 · Kritisch
- BudibaseCVE-2026-54352Beliebiger Datei-Lesezugriff durch Workspace-Builder über einen Symlink im PWA-ZIP (`/data/.env` → JWT-Fälschung → globaler Admin)9.6 · Kritisch
- Frigatenicht beantragtRTSP-Zugangsdaten-Leck über nutzerübergreifend geteilten nginx-Proxy-Cache6.5 · Mittel
- NocoDBCVE-2026-47387Stored XSS über die `redirect_url` einer Formularansicht → Account-Übernahme8.7 · Hoch
- HeadplaneCVE-2026-46484Path Traversal + RBAC-Bypass in `renameNode`8.1 · Hoch
- authentikCVE-2026-42849Reflected XSS in der SFE-AutosubmitStage über OAuth2 redirect_uri/state9.3 · Kritisch
- Argo CDCVE-2026-45738Stored XSS über die link.argocd.argoproj.io/*-Annotation7.3 · Hoch
- ILIASpendingBlind SQL Injection in den MyStaff-Listen über `_table_nav` (Whitelist-Bypass)9.3 · Kritisch
- Chamilo LMSCVE-2026-45143Student-zu-Admin Stored XSS in privaten Nachrichten über `v-html`9.0 · Kritisch
- Chamilo LMSCVE-2026-45144Pre-Auth Stored XSS auf der öffentlichen Profilseite `/user/{username}` über sechs ungefilterte Profilfelder (`{% autoescape false %}`)8.9 · Hoch
- TYPO3 CoreCVE-2026-47348Stored XSS in der Core-Systemerweiterung Indexed Search über ungefilterte Seitentitel (`f:format.raw`)5.1 · Mittel
Verantwortungsvolle Offenlegung
turingpoint folgt dem Prinzip der Coordinated Disclosure: Gefundene Schwachstellen werden zunächst vertraulich an die Hersteller gemeldet und erst nach Bereitstellung eines Patches öffentlich dokumentiert. So erhalten Anwender die Möglichkeit, ihre Systeme abzusichern, bevor technische Details bekannt werden.
Diese Expertise für Ihre Software
Unser Team findet kritische Schwachstellen in produktiver Software, bevor Angreifer es tun. Lassen Sie Ihre Anwendungen von denselben Spezialisten prüfen, mit einem Penetrationstest von turingpoint.
