{"uuid": "1be4c313-fa21-4fbb-a075-bad63a46b562", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2026-15410", "type": "seen", "source": "https://www.cert.at/de/warnungen/2026/7/kritische-sicherheitslucken-in-sonicwall-sma1000-series-aktiv-ausgenutzt-updates-verfugbar", "content": "15. Juli 2026\n\nBeschreibung\n\nIn den SonicWall SMA1000 Series Appliances existieren mehrere Sicherheitsl&uuml;cken. Die schwerwiegendere der beiden Schwachstellen erm&ouml;glicht es Angreifer:innen aus der Ferne und ohne Authentifizierung, die Appliance dazu zu bringen, serverseitig Anfragen an eigentlich nicht erreichbare interne Endpunkte zu senden (Server-Side Request Forgery). Laut SonicWall PSIRT werden die in diesem Advisory beschriebenen Schwachstellen bereits aktiv ausgenutzt.\n\nCVE-Nummer(n):&nbsp;CVE-2026-15409, CVE-2026-15410\n\nCVSS Base Score: 10.0\n\nAuswirkungen\n\nCVE-2026-15409 ist eine Server-Side-Request-Forgery-Schwachstelle (SSRF) im Work-Place-Interface der SMA1000 Appliance. Ein:e entfernte:r, nicht authentifizierte:r Angreifer:in kann die Appliance dazu bringen, serverseitig Anfragen an eigentlich nicht erreichbare interne Endpunkte zu senden. Der Hersteller gibt f&uuml;r diese Schwachstelle einen CVSS Base Score von 10.0 an.\n\nCVE-2026-15410 ist eine Schwachstelle vom Typ &bdquo;Improper Control of Generation of Code&ldquo; (Code Injection) in der Appliance Management Console (AMC), die es unter bestimmten Voraussetzungen einem:einer entfernten, als Administrator:in authentifizierten Angreifer:in erm&ouml;glichen kann, beliebige Betriebssystembefehle auszuf&uuml;hren. Der Hersteller gibt f&uuml;r diese Schwachstelle einen CVSS Base Score von 7.2 an.\n\nBetroffene Systeme\n\nBetroffen sind die SMA1000 Modelle 6210, 7210 und 8200v in folgenden Versionen:\n\n\n\n12.4.3-03245, 12.4.3-03387 und 12.4.3-03434 (platform-hotfix)\n\n12.5.0-02283, 12.5.0-02624 und 12.5.0-02800 (platform-hotfix)\n\n\nLaut Hersteller sind SSL-VPN auf SonicWall-Firewalls sowie die SMA 100 Series Produktlinie nicht von diesen Schwachstellen betroffen.\n\nAbhilfe\n\nSonicWall stellt einen platform-hotfix bereit, der die Schwachstellen behebt:\n\n\n\n12.4.3-03453 (platform-hotfix) und h&ouml;her\n\n12.5.0-02835 (platform-hotfix) und h&ouml;her\n\n\nDer aktuelle platform-hotfix steht auf mysonicwall.com zum Download bereit. Ein Workaround steht laut Hersteller nicht zur Verf&uuml;gung.\n\nDa eine aktive Ausnutzung beobachtet wurde, empfiehlt SonicWall zus&auml;tzlich, das System auf Anzeichen einer Kompromittierung (Indicators of Compromise) zu &uuml;berpr&uuml;fen. Dazu z&auml;hlen unter anderem:\n\n\n\nEintr&auml;ge in extraweb_access.log mit Anfragen an /__api__/login oder /__api__/logout mit HTTP-Status 200\n\nEintr&auml;ge in extraweb_access.log mit Anfragen an /wsproxy mit auff&auml;lligen Host-Parametern und HTTP-Status 101\n\nEintr&auml;ge in ctrl-service.log mit Hotfix-Rollbacks mit Path-Traversal-Namen\n\nRouten f&uuml;r /__api__/login oder /__api__/logout in /var/lib/unit/conf.json (diese URIs existieren in einer legitimen Konfiguration nicht)\n\n\nWerden IOCs festgestellt, empfiehlt SonicWall, betroffene Appliances neu aufzusetzen (Hardware: re-image, virtuell: re-deploy), Benutzer:innen- und Administrator:innen-Passw&ouml;rter zu &auml;ndern sowie TOTP-Token zur&uuml;ckzusetzen.\n\nHinweis\n\nGenerell empfiehlt CERT.at, s&auml;mtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelm&auml;&szlig;ige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.\n\n\n\nInformationsquelle(n):\n\nSonicWall SMA1000 Series Appliances Affected By Multiple Vulnerabilities (Englisch)https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0008", "creation_timestamp": "2026-07-15T13:00:53.342535Z"}