Täglicher IT-Security-Lagebericht – 14. Februar 2026
Sehr geehrte Leserinnen und Leser,
willkommen zu unserem heutigen IT-Security-Lagebericht vom 14. Februar 2026. Der heutige Bericht hebt eine Reihe kritischer und hochrelevanter Schwachstellen hervor, insbesondere im Ökosystem von WordPress. Zudem sind erneut gezielte Angriffskampagnen auf Infrastrukturkomponenten sowie Social Engineering-Taktiken zur Malware-Verbreitung zu beobachten. Eine proaktive Patch-Strategie und erhöhte Wachsamkeit sind weiterhin unerlässlich.
1. Aktuelle CVEs und Schwachstellen
Im Folgenden finden Sie eine Übersicht der aktuell kritischsten und relevantesten CVEs:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (9.8) | CVE-2026-1306 / WordPress midi-Synth Plugin Arbitrary File Upload | Das midi-Synth Plugin für WordPress ermöglicht unauthentifizierten Angreifern das Hochladen beliebiger Dateien (Arbitrary File Upload) aufgrund fehlender Dateityp- und Dateierweiterungsvalidierung, was zur Remote Code Execution führen kann. |
| CRITICAL (9.8) | CVE-2025-8572 / WordPress Truelysell Core Plugin Privilege Escalation | Das Truelysell Core Plugin für WordPress ist anfällig für Privilege Escalation durch unzureichende Validierung des ‚user_role‘-Parameters bei der Benutzerregistrierung, was unauthentifizierten Angreifern die Erstellung von Administratorkonten ermöglicht. |
| HIGH (8.1) | CVE-2026-2144 / WordPress Magic Login Mail or QR Code Plugin Privilege Escalation | Das Magic Login Mail or QR Code Plugin für WordPress speichert QR-Codes mit einem vorhersagbaren Dateinamen öffentlich zugänglich. Eine Race Condition ermöglicht unauthentifizierten Angreifern den Zugriff auf Benutzerkonten, inklusive Administratoren. |
| HIGH (7.6) | CVE-2026-2469 / directorytree/imapengine Injection | Das Paket directorytree/imapengine ist anfällig für Injection durch unzureichende Escaping von Benutzereingaben in IMAP ID Befehlen. Angreifer können E-Mails lesen/löschen oder beliebige IMAP-Befehle ausführen. |
| HIGH (7.5) | CVE-2026-0692 / WordPress BlueSnap Payment Gateway Missing Authorization | Das BlueSnap Payment Gateway für WooCommerce ist anfällig für fehlende Autorisierung. Unauthentifizierte Angreifer können IP-Allowlist-Beschränkungen umgehen und gefälschte IPN-Daten senden, um Bestellstatus zu manipulieren. |
| HIGH (7.5) | CVE-2026-1988 / WordPress Flexi Product Slider and Grid Local File Inclusion | Das Flexi Product Slider and Grid für WooCommerce ist anfällig für Local File Inclusion durch unzureichende Sanitization eines Parameters, was authentifizierten Angreifern (Contributor-Level und höher) das Ausführen beliebiger PHP-Dateien ermöglicht. |
| HIGH (7.5) | CVE-2026-2024 / WordPress PhotoStack Gallery SQL Injection | Das PhotoStack Gallery Plugin für WordPress ist anfällig für SQL Injection über den ‚postid‘-Parameter, was unauthentifizierten Angreifern das Extrahieren sensibler Informationen aus der Datenbank ermöglicht. |
| HIGH (7.2) | CVE-2026-0745 / WordPress User Language Switch Server-Side Request Forgery (SSRF) | Das User Language Switch Plugin für WordPress ist anfällig für SSRF durch fehlende URL-Validierung. Authentifizierte Administratoren können beliebige Webanfragen aus der Anwendung heraus tätigen. |
| HIGH (7.2) | CVE-2026-0753 / WordPress Super Simple Contact Form Reflected XSS | Das Super Simple Contact Form Plugin für WordPress ist anfällig für Reflected Cross-Site Scripting (XSS) über den ’sscf_name‘-Parameter aufgrund unzureichender Input-Sanitizierung und Output-Escaping. |
| HIGH (7.2) | CVE-2026-1843 / WordPress Super Page Cache Stored XSS | Das Super Page Cache Plugin für WordPress ist anfällig für Stored Cross-Site Scripting (XSS) via Activity Log aufgrund unzureichender Input-Sanitizierung und Output-Escaping. |
| MEDIUM (6.4) | CVE-2026-1904 / WordPress Simple Wp colorfull Accordion Stored XSS | Das Simple Wp colorfull Accordion Plugin für WordPress ist anfällig für Stored XSS über den ‚title‘-Parameter, was authentifizierten Angreifern (Contributor-Level und höher) das Einschleusen beliebiger Web-Skripte ermöglicht. |
| MEDIUM (6.4) | CVE-2026-1912 / WordPress Citations tools Stored XSS | Das Citations tools Plugin für WordPress ist anfällig für Stored XSS über den ‚code‘-Parameter, was authentifizierten Angreifern (Contributor-Level und höher) das Einschleusen beliebiger Web-Skripte ermöglicht. |
| MEDIUM (6.4) | CVE-2026-0557 / WordPress WP Data Access Stored XSS | Das WP Data Access Plugin für WordPress ist anfällig für Stored XSS über den ‚wpda_app‘-Shortcode, was authentifizierten Angreifern (Contributor-Level und höher) das Einschleusen beliebiger Web-Skripte ermöglicht. |
| MEDIUM (6.4) | CVE-2026-0559 / WordPress MasterStudy LMS Stored XSS | Das MasterStudy LMS WordPress Plugin ist anfällig für Stored XSS über den ’stm_lms_courses_grid_display‘-Shortcode, was authentifizierten Angreifern (Contributor-Level und höher) das Einschleusen beliebiger Web-Skripte ermöglicht. |
| MEDIUM (6.4) | CVE-2026-0736 / WordPress Chatbot for WordPress by Collect.chat Stored XSS | Das Chatbot for WordPress by Collect.chat Plugin ist anfällig für Stored XSS über das ‚_inpost_head_script[synth_header_script]‘-Post-Meta-Feld, was authentifizierten Angreifern (Contributor-Level und höher) das Einschleusen beliebiger Web-Skripte ermöglicht. |
2. Bedrohungsanalysen und Angriffskampagnen
- Gezielte Exploits gegen Unternehmens- und Infrastruktur-Software: Mehrere aktuelle Warnungen betreffen kritische Systeme. Angreifer zielen aktiv auf Schwachstellen in Fernwartungslösungen wie BeyondTrust, Netzwerk-Sicherheitsappliances (FortiSandbox und FortiOS) und QNAP NAS-Geräten ab. Insbesondere die anhaltenden Angriffe auf Ivanti RCE-Schwachstellen durch einen einzigen Bedrohungsakteur unterstreichen die Notwendigkeit schneller Patch-Implementierungen für solche Systeme, die oft eine zentrale Rolle in der Unternehmensinfrastruktur spielen.
- Social Engineering und Malware-Verbreitung: Aktuelle Berichte zeigen, dass Cyberkriminelle zunehmend raffinierte Social Engineering-Methoden nutzen. So werden gefälschte Stellenangebote mit vermeintlichen Programmieraufgaben verbreitet, die Malware enthalten. Eine weitere Kampagne zielt auf Krypto-Nutzer ab, indem physische Briefe mit manipulativen Inhalten versendet werden, um Zugangsdaten oder Seeds für Wallets zu erbeuten. Dies verdeutlicht die Notwendigkeit umfassender Sensibilisierung von Mitarbeitern und Endnutzern.
- Breite Schwachstellen in populärer Software und Hardware: Große Softwareanbieter wie Google (Chrome) und Dell haben in den letzten Tagen umfangreiche Updates veröffentlicht, um eine Vielzahl von Sicherheitslücken zu schließen, darunter auch solche, die bereits aktiv ausgenutzt werden. Dies unterstreicht die konstante Bedrohungslandschaft und die Notwendigkeit eines effektiven Patch-Managements für alle im Einsatz befindlichen Systeme.
3. Datenschutz & Kryptografie
- Krypto-Phishing per Post: Eine ungewöhnliche, aber bemerkenswerte Angriffskampagne nutzt physische Post, um Trezor- und Ledger-Nutzer zu täuschen. Die Briefe versuchen, Anmeldeinformationen oder Seed-Phrasen für Kryptowährungs-Wallets zu erbeuten. Dies ist ein wichtiger Reminder, dass Social Engineering nicht nur digital stattfindet und Nutzer äußerste Vorsicht walten lassen sollten.
- Hohe Bußgelder nach Datenlecks: Renommierte Luxusmarken wie Louis Vuitton, Dior und Tiffany wurden mit hohen Geldstrafen von insgesamt 25 Millionen US-Dollar belegt, nachdem Datenlecks bekannt wurden. Dies unterstreicht die strengen Anforderungen an den Datenschutz und die erheblichen finanziellen Konsequenzen bei Nichteinhaltung für Unternehmen.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:
- WordPress-Installationen prüfen und aktualisieren: Angesichts der Vielzahl kritischer und hochkritischer Schwachstellen in WordPress-Plugins ist es dringend erforderlich, alle WordPress-Installationen umgehend auf verfügbare Updates zu prüfen und einzuspielen. Nicht genutzte Plugins sollten deinstalliert werden. Besondere Aufmerksamkeit gilt dabei Plugins, die Datei-Uploads oder Benutzerregistrierungen verwalten.
- IMAP-Server absichern: Falls das Paket
directorytree/imapengineeingesetzt wird, ist ein Update auf Version 1.22.3 oder höher notwendig, um die Injection-Schwachstelle (CVE-2026-2469) zu beheben. - Patch-Management für kritische Infrastruktur: Stellen Sie sicher, dass Updates für Remote-Access-Lösungen (BeyondTrust), Netzwerk-Sicherheitsappliances (FortiSandbox, FortiOS), NAS-Systeme (QNAP) und andere kritische Infrastruktur (z.B. Ivanti) unverzüglich eingespielt werden, da diese Systeme aktiv angegriffen werden.
- Browser und Endpunkt-Software aktualisieren: Führen Sie umgehend Updates für Webbrowser (z.B. Google Chrome) und alle installierte Software von großen Anbietern (z.B. Dell Produkte wie Avamar, iDRAC, NetWorker) durch, um bekannte Sicherheitslücken zu schließen.
- Mitarbeitersensibilisierung stärken: Schulen Sie Ihre Mitarbeiter regelmäßig im Erkennen von Social Engineering-Angriffen, sei es durch gefälschte Jobangebote, Phishing-E-Mails oder ungewöhnliche physische Post. Betonen Sie die Wichtigkeit der Überprüfung der Absender bei ungewöhnlichen Anfragen.
- Zusätzliche Sicherheitsmaßnahmen für WordPress: Implementieren Sie eine Web Application Firewall (WAF) vor Ihren WordPress-Instanzen und überwachen Sie die Zugriffsprotokolle auf ungewöhnliche Aktivitäten. Beschränken Sie die Upload-Berechtigungen auf das Notwendigste.
Fazit
Der heutige Lagebericht zeigt einmal mehr, dass die Bedrohungslandschaft dynamisch und vielschichtig ist. Von weitreichenden Schwachstellen in populären Content-Management-Systemen bis hin zu gezielten Angriffen auf kritische Unternehmenshardware und raffinierten Social Engineering-Taktiken – die Angriffsflächen sind vielfältig. Eine konsequente Umsetzung von Patch-Management, umfassende Sensibilisierung der Nutzer und die Implementierung mehrstufiger Sicherheitskontrollen sind entscheidend, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.
