Live
* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access
CVE-2026-9157 High 21. Mai 2026 CVSS 8.4/10

🟠 CVE-2026-9157: High Schwachstelle

CVE-2026-9157
8.4/10
High
Nein
Various
Local
NVD Quelle

„`html

Zusammenfassung

Die Sicherheitslücke CVE-2026-9157 betrifft Gmission Web Fax und basiert auf unzureichender Eingabevalidierung sowie unrestriktiertem Upload von Dateien mit gefährlichen Dateitypen. Diese Kombination ermöglicht Remote Code Inclusion (RCI)-Attacken, durch die Angreifer beliebigen Code auf dem betroffenen System ausführen können.

Betroffene Systeme

Gmission Web Fax Version 3.0 bis einschließlich 3.0.x ist anfällig für diese Lücke. Version 3.1 und höher beheben das Problem. Die Schwachstelle betrifft verschiedene Installationen weltweit, unabhängig vom Betriebssystem des Host-Systems.

Technische Details

Die Vulnerabilität entsteht durch zwei kritische Sicherheitsmängel:

Ein lokaler Angreifer kann diese Schwachstellen kombinieren, um Dateien mit PHP-, ASP- oder anderen Code-Erweiterungen hochzuladen. Durch geschickte Manipulation der Eingabevalidierung kann der hochgeladene Code anschließend von der Anwendung inkludiert und ausgeführt werden.

Empfohlene Massnahmen

Sofortmaßnahmen:

Langfristig: Ein offizieller Patch ist derzeit nicht verfügbar. Upgraden Sie auf Version 3.1 oder höher, sobald diese erhältlich ist. Implementieren Sie Web Application Firewall (WAF)-Regeln zur Filterung verdächtiger Upload-Muster.

Bewertung

Mit CVSS 8.4 (High) und fehlender Patch ist diese Lücke dringend zu behandeln. Organisationen mit Gmission Web Fax 3.0 sollten sofort Workarounds implementieren oder zu alternativen Lösungen migrieren.

„`

🛒

Empfohlene Security-Tools

* Affiliate-Links
🔑 Empfohlen
YubiKey Security Key NFC
Hardware-Sicherheitsschluessel fuer Zwei-Faktor-Authentifizierung. Schuetzt Accounts selbst bei gestohlenen Passwoertern.
ab 29,00 € Amazon →
🛡 Netzwerk
GL.iNet GL-MT3000 Reise-Router
VPN-faehiger Pocket-Router mit WiFi 6. Schuetzt dein Netzwerk unterwegs und zu Hause vor Angriffen.
ab 69,00 € Amazon →
📘 Buch
Hacking & Cyber Security mit KI
Prompt Engineering, Phishing, Pentesting mit ChatGPT. Perfekt fuer IT-Security Einsteiger und Profis.
ab 24,99 € Amazon →
💻 Buch
Ethical Hacking - Das grosse Buch
Hacking mit Python Schritt fuer Schritt erklaert. Verstehe wie Angreifer denken und schuetze deine Systeme.
ab 39,99 € Amazon →
🐍 Buch
Python fuer Einsteiger
Programmieren lernen mit Python - Schritt fuer Schritt zum Python-Profi. Ideal fuer Security Automation.
ab 29,99 € Amazon →

* Als Amazon-Partner verdiene ich an qualifizierten Kaeufen. Diese Links helfen dabei, HuntingThreats kostenlos zu betreiben.

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen