Täglicher IT-Security-Lagebericht – 06.03.2026
Sehr geehrte Leserinnen und Leser,
willkommen zu unserem täglichen IT-Security-Lagebericht für den 06. März 2026. Dieser Bericht fasst die wichtigsten Entwicklungen, kritische Schwachstellen und relevante Bedrohungsanalysen zusammen, um Ihnen einen umfassenden Überblick über die aktuelle Sicherheitslandschaft zu geben und konkrete Handlungsempfehlungen abzuleiten.
1. Aktuelle CVEs und Schwachstellen
Die heutige Analyse zeigt eine Vielzahl kritischer Schwachstellen in weit verbreiteter Software, die umgehende Aufmerksamkeit erfordern. Insbesondere fehlen oft adäquate Authentifizierungsmechanismen und Input-Validierungen, was Angreifern weitreichende Möglichkeiten eröffnet.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (9.9) | CVE-2026-29789: Vito – Fehlende Autorisierung bei Site-Erstellung | Fehlende Autorisierungsprüfung in Vito vor Version 3.20.3 ermöglicht authentifizierten Angreifern mit Workflow-Schreibzugriff, Sites auf Servern anderer Projekte zu erstellen/verwalten. |
| CRITICAL (9.8) | CVE-2026-28501: WWBN AVideo – Unauthentifizierte SQL Injection | Unauthentifizierte SQL Injection in AVideo vor Version 24.0 durch unsanitisierten ‚catName‘-Parameter in JSON-POST-Anfragen, umgeht bestehende Sicherheitsmechanismen. |
| CRITICAL (9.8) | CVE-2026-2446: PowerPack for LearnDash – Options-/Admin-User-Erstellung | Das WordPress-Plugin PowerPack for LearnDash vor 1.3.0 hat keine Autorisierungs- und CSRF-Prüfungen in einer AJAX-Aktion, was unauthentifizierten Benutzern die Aktualisierung beliebiger WordPress-Optionen und die Erstellung beliebiger Admin-Benutzer ermöglicht. |
| CRITICAL (9.8) | CVE-2026-29058: AVideo – Unauthentifizierte OS Command Injection | In AVideo vor Version 7.0 kann ein unauthentifizierter Angreifer beliebige OS-Befehle durch Shell-Befehlssubstitution in den ‚base64Url‘-GET-Parameter ausführen, was zu einer vollständigen Serverkompromittierung führen kann. |
| CRITICAL (9.8) | CVE-2026-2331: AppEngine – Unauthentifizierter Dateisystemzugriff | Ein Angreifer kann über den AppEngine Fileaccess über HTTP unauthentifizierte Lese- und Schreibvorgänge auf sensible Dateisystembereiche durchführen, was das Auslesen und Ändern von Anwendungseinstellungen sowie die Ausführung von Lua-Code ermöglicht. |
| CRITICAL (9.4) | CVE-2026-22552: WebSocket Endpoints – Fehlende Authentifizierung (OCPP) | WebSocket-Endpunkte für OCPP weisen keine ordnungsgemäßen Authentifizierungsmechanismen auf. Dies ermöglicht unauthentifizierten Angreifern, Ladestationen zu imitieren und Daten an das Backend zu manipulieren, was zu Privilegienerhöhung und Kontrolle der Ladeinfrastruktur führen kann. |
| CRITICAL (9.4) | CVE-2026-2330: CROWN REST Interface – Unauthentifizierter Dateisystemzugriff | Angreifer können über die CROWN REST-Schnittstelle auf eingeschränkte Dateisystembereiche zugreifen, da die Whitelist unvollständig ist. Dies ermöglicht das Platzieren manipulierter Parameterdateien und die Änderung kritischer Geräteeinstellungen. |
| CRITICAL (9.4) | CVE-2026-26051: WebSocket Endpoints – Fehlende Authentifizierung (OCPP) | Identisch zu CVE-2026-22552. Fehlende Authentifizierungsmechanismen an OCPP WebSocket-Endpunkten erlauben unautorisierte Stationsimpersonation und Datenmanipulation. |
| CRITICAL (9.4) | CVE-2026-26288: WebSocket Endpoints – Fehlende Authentifizierung (OCPP) | Identisch zu CVE-2026-22552 und CVE-2026-26051. Fehlende Authentifizierungsmechanismen an OCPP WebSocket-Endpunkten erlauben unautorisierte Stationsimpersonation und Datenmanipulation. |
| CRITICAL (9.3) | CVE-2026-28680: Ghostfolio – Server-Side Request Forgery (SSRF) | In Ghostfolio vor Version 2.245.0 kann ein Angreifer die manuelle Asset-Importfunktion ausnutzen, um eine Full-Read SSRF durchzuführen und sensible Cloud-Metadaten zu exfiltrieren oder interne Netzwerkdienste zu sondieren. |
| CRITICAL (9.3) | CVE-2026-29183: SiYuan – Unauthentifizierte Reflected XSS | In SiYuan vor Version 3.5.9 existiert eine unauthentifizierte Reflected XSS-Schwachstelle im dynamischen Icon API-Endpunkt, die die Ausführung von JavaScript im Web-Origin von SiYuan ermöglicht. |
| CRITICAL (9.0) | CVE-2025-59542: Chamilo – Stored XSS in Kurs-Lernpfad | Chamilo vor Version 1.11.34 ist anfällig für eine Stored XSS-Schwachstelle. Angreifer mit niedrigen Rechten können JavaScript in das Feld „Kurs-Lernpfad Einstellungen“ einschleusen, was zur Account-Übernahme führen kann. |
| CRITICAL (9.0) | CVE-2025-59543: Chamilo – Stored XSS in Kursbeschreibung | Chamilo vor Version 1.11.34 ist anfällig für eine Stored XSS-Schwachstelle. Angreifer mit niedrigen Rechten können JavaScript in das Feld „Kursbeschreibung“ einschleusen, was zur Account-Übernahme führen kann. |
| HIGH (8.8) | CVE-2025-55289: Chamilo – Stored XSS in sozialen Netzwerken/Nachrichten | Chamilo vor Version 1.11.34 erlaubt Angreifern, JavaScript in die sozialen Netzwerk- und internen Nachrichtenfunktionen einzuschleusen, was bei der Anzeige durch authentifizierte Benutzer zur vollständigen Account-Übernahme führen kann. |
| HIGH (8.8) | CVE-2026-29041: Chamilo – Authentifizierte Remote Code Execution | Chamilo vor Version 1.11.34 ist anfällig für eine authentifizierte Remote Code Execution-Schwachstelle durch unsachgemäße Validierung hochgeladener Dateien, was die Ausführung beliebiger Befehle auf dem Server ermöglicht. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuellen Nachrichten zeigen eine anhaltend hohe Bedrohungslage mit diversen Angriffswellen und Sicherheitslücken in kritischer Infrastruktur sowie weit verbreiteter Software:
- CISA-Warnungen vor akuten Bedrohungen: Die US-Sicherheitsbehörde CISA warnt dringend vor Angriffen, die aktiv Schwachstellen in Hikvision, Rockwell Automation und Apple-Produkten ausnutzen. Insbesondere werden iOS-Schwachstellen für Krypto-Diebstahl-Angriffe missbraucht. Dies unterstreicht die Notwendigkeit, insbesondere mobile Endgeräte und kritische Infrastruktur umgehend zu patchen.
- Angriffswelle auf Oxid eShop-Systeme: Berichte über IT-Einbrüche bei Unternehmen wie „asgoodasnew“ und „Kirstein“ deuten auf eine mögliche breitere Angriffswelle ab, die speziell auf Oxid eShop-Installationen abzielt. Dies legt nahe, dass Unternehmen, die diese E-Commerce-Plattform nutzen, ihre Systeme auf Indicators of Compromise (IoCs) überprüfen und absichern sollten.
- Infostealer-Kampagnen durch Fake Claude Code Guides: Eine neue Kampagne mit dem Titel „InstallFix“ verbreitet Infostealer über gefälschte Anleitungen zur Installation von „Claude Code“. Dies ist ein klares Beispiel für Social Engineering und betrügerische Downloads, die darauf abzielen, Zugangsdaten und sensible Informationen zu stehlen.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz ist heute der massive Datenbruch bei Cognizant TriZetto hervorzuheben, bei dem Gesundheitsdaten von 3,4 Millionen Patienten offengelegt wurden. Dieser Vorfall unterstreicht die gravierenden Folgen unzureichender Sicherheitsmaßnahmen im Gesundheitswesen und die Notwendigkeit strengster Datenschutzprotokolle.
Bezüglich Kryptografie warnte die CISA vor der Ausnutzung von Apple-Schwachstellen für Krypto-Diebstahl-Angriffe. Dies kann darauf hindeuten, dass Angreifer versuchen, über Schwachstellen im Betriebssystem auf Krypto-Wallets oder damit verbundene Authentifizierungstoken zuzugreifen. Eine robuste Absicherung von Geräten und eine erhöhte Wachsamkeit bei Transaktionen sind unerlässlich.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen und Schwachstellen empfehlen wir dringend folgende Maßnahmen:
- Priorisierte Patch-Verwaltung: Implementieren Sie umgehend die verfügbaren Patches für alle betroffenen Systeme, insbesondere:
- Vito auf Version 3.20.3.
- WWBN AVideo auf Version 24.0 (oder höher).
- Das PowerPack for LearnDash WordPress Plugin auf Version 1.3.0 (oder höher).
- AVideo auf Version 7.0 (oder höher).
- SiYuan auf Version 3.5.9 (oder höher).
- Ghostfolio auf Version 2.245.0 (oder höher).
- Chamilo LMS auf Version 1.11.34 (oder höher).
- Alle Apple-Produkte, insbesondere iOS-Geräte, gegen die von CISA genannten Schwachstellen.
- Acronis Cyber Protect, Avira Virenschutz und Cisco Secure Firewall Management Center gemäß den Herstellerempfehlungen patchen.
- Hikvision und Rockwell Automation Produkte entsprechend den CISA-Warnungen absichern.
- Überprüfung der Authentifizierungsmechanismen: Angesichts der vielen kritischen Schwachstellen durch fehlende oder unzureichende Authentifizierung (z.B. in WebSocket-Endpunkten, AppEngine, CROWN REST Interface), überprüfen und verstärken Sie die Authentifizierung für alle exponierten Dienste und Schnittstellen. Implementieren Sie, wo immer möglich, Multi-Faktor-Authentifizierung (MFA).
- Stärkung der Input-Validierung: Überprüfen Sie alle webbasierten Anwendungen, insbesondere solche, die JSON-Eingaben oder Dateiuploads verarbeiten, auf robuste Input-Validierung. Dies ist entscheidend, um Schwachstellen wie SQL Injection (AVideo) und Remote Code Execution (Chamilo) zu verhindern.
- Erhöhte Wachsamkeit bei E-Commerce-Plattformen: Betreiber von Oxid eShop-Systemen sollten proaktiv nach Anzeichen einer Kompromittierung suchen und ihre Sicherheitseinstellungen sowie Logs sorgfältig prüfen.
- Mitarbeiter-Sensibilisierung: Führen Sie regelmäßige Schulungen zur Sensibilisierung für Phishing, Social Engineering und den Umgang mit verdächtigen Downloads durch (z.B. „Fake Claude Code“-Kampagne), um Infostealer-Angriffe zu verhindern.
- Zugriffskontrolle und Least Privilege: Stellen Sie sicher, dass Benutzer und Anwendungen nur die minimal notwendigen Berechtigungen erhalten, um ihre Aufgaben zu erfüllen, insbesondere im Hinblick auf Dateisystemzugriffe und Site-Verwaltung (z.B. Vito, AppEngine).
Fazit
Der heutige Lagebericht unterstreicht die anhaltende Relevanz von proaktivem Patch-Management, verstärkter Authentifizierung und strenger Input-Validierung. Die Vielfalt der Bedrohungen, von weit verbreiteten Schwachstellen in Software bis hin zu gezielten Angriffskampagnen und massiven Datenlecks, erfordert eine kontinuierliche Wachsamkeit und eine robuste Sicherheitsstrategie. Bleiben Sie wachsam und handeln Sie umgehend, um Ihre Systeme und Daten zu schützen.
