Mastodon Mastodon Mastodon Mastodon

Fortinet, Ivanti und SAP patchen kritische Schwachstellen in Kernprodukten

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Drei große Hersteller — Fortinet, Ivanti und SAP — haben gleichzeitig Sicherheitsupdates veröffentlicht, die zusammen sieben kritische Schwachstellen mit CVSS-Werten von 9.0 bis 10.0 schließen. Die gefährlichste davon, CVE-2026-10520 in Ivanti Sentry, erhielt die Maximalbewertung 10.0 und ermöglicht einem nicht authentifizierten Angreifer Remote Code Execution mit root-Rechten. Alle Schwachstellen erlauben die Ausführung beliebigen Codes oder einen unautorisierten Zugriff auf Daten. Eine Ausnutzung in realen Angriffen wurde bisher nicht festgestellt, allerdings wurden für CVE-2026-10520 technische Exploit-Details veröffentlicht, was das Risiko erheblich erhöht. Organisationen, die die betroffenen Produkte einsetzen, sollten die Updates mit hoher Priorität installieren.

Fortinet FortiSandbox: OS Command Injection ohne Authentifizierung

Laut dem PSIRT-Bulletin von Fortinet gehört die Schwachstelle CVE-2026-25089 (CVSS 9.1) zur Klasse CWE-78 — unzureichende Neutralisierung spezieller Elemente, die in Betriebssystem-Befehlen verwendet werden. Ein nicht authentifizierter Angreifer kann über speziell gestaltete HTTP-Anfragen an das Web-Interface von FortiSandbox beliebige OS-Befehle ausführen.

Betroffene Produkte und Versionen:

  • FortiSandbox 5.0.0–5.0.5 → aktualisieren auf 5.0.6 oder höher
  • FortiSandbox 4.4.0–4.4.8 → aktualisieren auf 4.4.9 oder höher
  • FortiSandbox Cloud 5.0.4–5.0.5 → aktualisieren auf 5.0.6 oder höher
  • FortiSandbox PaaS 5.0.4–5.0.5 → aktualisieren auf 5.0.6 или выше

FortiSandbox ist eine Schlüsselkomponente der Infrastruktur zum Schutz vor Malware, und eine Kompromittierung dieser Lösung kann einem Angreifer Zugriff auf analysierte Samples und das interne Netzwerk der Organisation eröffnen.

Ivanti Sentry: maximale Kritikalität und öffentliche Exploit-Analyse

Ivanti hat Patches veröffentlicht für zwei Schwachstellen in Ivanti Sentry (früher MobileIron Sentry), die beide Versionen vor R10.5.2, R10.6.2 und R10.7.1 betreffen:

  • CVE-2026-10520 (CVSS 10.0) — OS Command Injection, die einem nicht authentifizierten Angreifer Remote Code Execution mit root-Rechten ermöglicht.
  • CVE-2026-10523 (CVSS 9.9) — Authentication Bypass, durch den ein nicht authentifizierter Angreifer beliebige administrative Accounts anlegen und vollen administrativen Zugriff erhalten kann.

Nach Angaben der Forscher von watchTowr Labs erfolgt die Ausnutzung von CVE-2026-10520 durch das Senden einer speziell gestalteten HTTP-Anfrage an den Endpoint /mics/api/v2/sentry/mics-config/handleMessage. Die Anfrage wird als MICS-Konfigurationsbefehl interpretiert und von der Serverkomponente handleExecute() ausgeführt. Der Forscher Sonny McDonald wies darauf hin, dass der Patch von Ivanti einen zweistufigen Schutz implementiert: Weiterleitung nicht authentifizierter Anfragen auf die Login-Seite und Blockierung des Zugriffs auf den verwundbaren Endpoint — de facto wird damit eine Authentifizierung ergänzt, wo zuvor keine vorhanden war.

Die Kombination aus CVE-2026-10520 und CVE-2026-10523 ist besonders gefährlich: Der Authentication Bypass kann genutzt werden, um sich nach einer initialen Kompromittierung über die Command Injection dauerhaft im System festzusetzen und eine persistente Backdoor mit administrativen Rechten zu schaffen.

SAP: vier kritische Schwachstellen in zentralen Plattformen

Im Rahmen des Sicherheitsupdates für Juni hat SAP vier kritische Schwachstellen geschlossen:

  • CVE-2026-44748 (CVSS 9.9) — Manipulation der XML-Signatur im SAML-Authentifizierungsmechanismus in SAP NetWeaver AS ABAP und ABAP Platform. Nach Angaben von Onapsis kann ein authentifizierter Angreifer mit normalen Berechtigungen eine gültig signierte Nachricht erhalten, die Identifikationsdaten im XML-Dokument verändern und sie an den Verifier senden. Aufgrund einer fehlerhaften Prüfung der XML-Signatur werden die geänderten Daten akzeptiert, was zu unautorisiertem Zugriff auf vertrauliche Benutzerdaten führt.
  • CVE-2026-27671 (CVSS 9.8) — Speicherbeschädigung im Application Server ABAP. Ein nicht authentifizierter Angreifer kann eine speziell gestaltete RFC-Anfrage senden und dabei die fehlerhafte Protokollvalidierung von RFC im SAP-Kern ausnutzen.
  • CVE-2026-22732 (CVSS 9.1) — Spring-Security-Schwachstelle in SAP Commerce Cloud und SAP Data Hub.
  • CVE-2026-40128 (CVSS 9.0) — Directory Traversal in SAP NetWeaver Application Server Java (Web Container).

Die Schwachstelle CVE-2026-44748 verdient besondere Aufmerksamkeit für Organisationen, die SAML-Authentifizierung mit SAP einsetzen: Ein erfolgreicher Angriff ermöglicht die Manipulation der Benutzeridentität und kann zur Kompromittierung privilegierter Accounts im ERP-System führen.

Risikobewertung und Empfehlungen

Keine der genannten Schwachstellen ist zum Zeitpunkt der Veröffentlichung im CISA-KEV-Katalog gelistet, und bestätigte Fälle einer Ausnutzung in realen Angriffen wurden nicht festgestellt. Die Veröffentlichung technischer Exploit-Details zu CVE-2026-10520 durch die Forscher von watchTowr Labs verkürzt jedoch die Zeit bis zum Auftauchen funktionsfähiger Exploits erheblich.

Prioritäten für Updates:

  1. Höchste Priorität — Ivanti Sentry: Update auf R10.5.2, R10.6.2 oder R10.7.1, abhängig vom verwendeten Release-Zweig. Das Vorliegen einer öffentlichen Exploit-Analyse bei gleichzeitig maximaler CVSS-Bewertung von 10.0 macht diese Schwachstelle zum vordringlichsten Ziel.
  2. Hohe Priorität — FortiSandbox: Update auf Version 5.0.6 bzw. 4.4.9. Die Schwachstelle erfordert keine Authentifizierung und wird über HTTP ausgenutzt.
  3. Hohe Priorität — SAP NetWeaver und verwandte Produkte: Installation der entsprechenden Patches aus dem Juni-Update-Paket von SAP. Besonderes Augenmerk auf Systeme mit SAML-Authentifizierung (CVE-2026-44748) und öffentlich erreichbaren RFC-Schnittstellen (CVE-2026-27671).

Als temporäre Maßnahme für Ivanti Sentry wird empfohlen, den Netzwerkzugriff auf den Endpoint /mics/api/v2/sentry/mics-config/handleMessage mittels Firewall oder Reverse-Proxy einzuschränken, bis der Patch installiert ist.

Die zeitliche Überschneidung der Veröffentlichung kritischer Updates durch drei Hersteller erhöht die Belastung für Security-Teams. Angesichts der öffentlichen Exploit-Analyse für Ivanti Sentry und der fehlenden Authentifizierung als Schutzbarriere bei den meisten beschriebenen Schwachstellen sollten die Patches innerhalb von 48–72 Stunden eingespielt werden, beginnend mit Ivanti Sentry und FortiSandbox als wahrscheinlichsten Zielen für Angreifer.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen