A prompt injection flaw in Google Gemini’s voice assistant let attackers hide malicious commands in notifications, enabling social engineering and more.
Eine SQL-Injection im Datenbank-Layer von Drupal Core erlaubt anonymen Angreifern Lese- und Schreibzugriff auf alle Anwendungsdaten. Das Drupal Security Team stuft CVE-2026-9082 mit 23 von 25 Punkten als hochkritisch ein und meldet aktive Angriffe. Updates gibt es für alle gepflegten Zweige.
Eine Prompt Injection in einem Open-Source-Projekt soll Vibe Coder vorsätzlich schädigen. Der Entwickler erntet dafür reichlich Kritik. (KI, Malware)
CVE-2026-34197 in Apache ActiveMQ wird aktiv ausgenutzt. Die Schwachstelle liegt in der Jolokia-API, in einigen Versionen ist keine Authentisierung nötig. Was zu tun ist. Eine Analyse von Steffen Zahn (Security, Virtualisierung)
A large-scale campaign is exploiting a critical SQL injection vulnerability (CVE-2026-26980) in Ghost CMS to inject malicious JavaScript code that triggers ClickFix attack flows. […]
Drupal is warning that hackers are attempting to exploit a „highly critical“ SQL injection vulnerability announced earlier this week. […]