Live
* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?
CVE-2026-9144 High 21. Mai 2026 CVSS 7.6/10

🟠 CVE-2026-9144: High Schwachstelle

CVE-2026-9144
7.6/10
High
Nein
Various
Network
NVD Quelle

„`html

Zusammenfassung

CVE-2026-9144 beschreibt eine Stored Cross-Site Scripting (XSS)-Schwachstelle im Taiko AG1000-01A SMS Alert Gateway. Die Lücke ermöglicht authentifizierten Angreifern die Einschleusung persistenter JavaScript-Payloads über die Web-Konfigurationsschnittstelle. Durch Fragmentierung und Verkettung von Malware-Code über mehrere Eingabefelder können Längenbeschränkungen umgangen werden.

Betroffene Systeme

Die Schwachstelle betrifft folgende Versionen des Taiko AG1000-01A SMS Alert Gateway:

Weitere Versionen sollten überprüft werden. Das System wird typischerweise in Telekommunikations- und kritischen Infrastrukturen eingesetzt.

Technische Details

Der Angriff nutzt mehrere Techniken zur Payload-Verschleierung. Durch JavaScript-Kommentare und Template-Literals fragmentieren Angreifer bösartigen Code über administrative Formularfelder. Diese Fragmente werden zusammengesetzt und persistent in der Datenbank gespeichert.

Beim Abruf administrativer Dashboard-Seiten (z.B. index.zhtml) wird das zusammengesetzte Skript im Kontext der Admin-Session ausgeführt. Dies ermöglicht Privilege-Escalation, Datenexfiltration oder Systemkompromittierung. Die Front-End-Validierung bietet keinen Schutz, da die Fragmentierung diese umgeht.

Angriffsvektor: Netzwerk. Voraussetzung: Authentifizierter Zugriff auf die Verwaltungsschnittstelle erforderlich.

Empfohlene Massnahmen

Bewertung

Mit CVSS 7.6 und Stored XSS-Charakter ist diese Lücke als High-Risk einzustufen. Die Abhängigkeit von Authentifizierung reduziert die Kritikalität gegenüber Remote-Code-Execution. Dennoch: Immediate Remediation ist erforderlich, solange kein Patch vorliegt.

„`

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen