Guten Tag und herzlich willkommen zum täglichen IT-Security-Lagebericht vom 26. März 2026. Heute stehen kritische Schwachstellen in verschiedenen Web-Anwendungen und Systemen im Fokus, die von Autorisierungs-Bypässen bis hin zu Remote Code Execution reichen. Darüber hinaus beobachten wir aktive Phishing-Kampagnen und die Ausnutzung von Fehlern in KI-Workflows, die eine erhöhte Wachsamkeit erfordern.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle gibt einen Überblick über aktuelle und kritische Schwachstellen, die in den letzten 24 Stunden bekannt wurden oder als besonders relevant eingestuft werden. Es wird dringend empfohlen, die betroffenen Systeme umgehend zu prüfen und entsprechende Patches einzuspielen.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-33494 / ORY Oathkeeper Authorization Bypass | ORY Oathkeeper (IAP, < 26.2.0) ist anfällig für einen Autorisierungs-Bypass via HTTP-Pfad-Traversal, da bei der Regelauswertung der unnormalisierte Pfad verwendet wird. |
| CRITICAL (9.9) | CVE-2026-33396 / OneUptime Remote Command Execution | OneUptime (< 10.0.35) ermöglicht authentifizierten Benutzern (ProjectMember) Remote Code Execution auf dem Probe-Container/Host durch Missbrauch der Synthetic Monitor Playwright Skriptausführung. |
| CRITICAL (9.9) | CVE-2026-33897 / Incus Arbitrary Read/Write as Root | Incus (< 6.23.0) erlaubt über Instanz-Template-Dateien beliebige Lese- oder Schreibvorgänge als Root auf dem Host-Server aufgrund einer Umgehung der pongo2-Chroot-Isolation. |
| CRITICAL (9.8) | CVE-2026-33942 / Saloon PHP Object Injection (RCE) | Die PHP-Bibliothek Saloon ( true`, was bei kontrollierten serialisierten Strings zu Object Injection und potenzieller Remote Code Execution führen kann. |
| CRITICAL (9.8) | CVE-2026-4484 / Masteriyo LMS (WordPress) Privilege Escalation | Das Masteriyo LMS Plugin für WordPress (<= 2.1.6) ist anfällig für Privilegieneskalation, die es authentifizierten Angreifern (Student-Level) ermöglicht, sich zu Administratoren hochzustufen. |
| CRITICAL (9.8) | CVE-2014-125112 / Plack::Middleware::Session::Cookie RCE | Plack::Middleware::Session::Cookie (<= 0.21) für Perl ermöglicht Remote Code Execution während der Deserialisierung von Cookie-Daten, wenn kein Geheimnis zum Signieren verwendet wird. |
| CRITICAL (9.8) | CVE-2026-4809 / plank/laravel-mediable Arbitrary File Upload | `plank/laravel-mediable` (<= 6.4.0) kann den Upload gefährlicher Dateitypen zulassen, wenn die Anwendung clientseitig übermittelte MIME-Typen akzeptiert, was zu beliebiger Dateiupload und RCE führen kann. |
| CRITICAL (9.8) | CVE-2026-33669 / SiYuan Document Content Disclosure | SiYuan (< 3.6.2) ermöglicht das Auslesen des Inhalts aller Dokumente über die `/api/file/readDir` und `/api/block/getChildBlocks` Schnittstellen. |
| CRITICAL (9.8) | CVE-2026-33670 / SiYuan Document File Name Disclosure | SiYuan (< 3.6.2) ermöglicht das Traversieren und Abrufen der Dateinamen aller Dokumente unter einem Notizbuch über die `/api/file/readDir`-Schnittstelle. |
| CRITICAL (9.1) | CVE-2026-33152 / Tandoor Recipes API Rate Limiting Bypass | Tandoor Recipes (< 2.6.0) ist anfällig für unbegrenzte Rate-Limit-Umgehung bei BasicAuthentication via API-Endpunkten, was Brute-Force-Angriffe auf Passwörter ermöglicht. |
| HIGH (8.8) | CVE-2026-33917 / OpenEMR SQL Injection | OpenEMR (< 8.0.0.3) enthält eine SQL-Injection-Schwachstelle in der `ajax_save` CAMOS-Form, die von authentifizierten Angreifern ausgenutzt werden kann. |
| HIGH (8.8) | CVE-2026-4758 / WP Job Portal (WordPress) Arbitrary File Deletion | Das WP Job Portal Plugin für WordPress (<= 2.4.9) ist anfällig für willkürliche Dateilöschung, was zu Remote Code Execution führen kann. |
| HIGH (8.8) | CVE-2025-15101 / ASUS Router CSRF & OS Command Injection | Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in ASUS-Router-Webmanagement-Interfaces erlaubt die Ausführung von Systembefehlen. |
| HIGH (8.8) | CVE-2026-2931 / Amelia Booking (WordPress) IDOR | Das Amelia Booking Plugin für WordPress (<= 9.1.2) ist anfällig für Insecure Direct Object References (IDOR), die es authentifizierten Kunden ermöglichen, Benutzerpasswörter zu ändern. |
| HIGH (8.8) | CVE-2026-4840 / Netcore Power 15AX OS Command Injection | Netcore Power 15AX (<= 3.0.0.6938) weist eine remote ausnutzbare OS Command Injection Schwachstelle in der Funktion `setTools` auf. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuelle Bedrohungslandschaft ist weiterhin dynamisch, mit Fokus auf gezielte Angriffe und die Ausnutzung neuer Technologien:
-
Aktive Ausnutzung von Langflow-Schwachstelle in KI-Workflows
Die CISA hat vor einer aktiv ausgenutzten Schwachstelle in der Automatisierungsplattform Langflow gewarnt, die es Angreifern ermöglicht, KI-Workflows zu kapern. Diese Art von Angriff unterstreicht die Notwendigkeit, auch KI-Systeme und deren Integrationspunkte einer strengen Sicherheitsprüfung zu unterziehen und Patches schnellstmöglich einzuspielen.
-
Phishing-Kampagnen gegen TikTok for Business Accounts
Eine neue, zielgerichtete Phishing-Kampagne hat TikTok for Business-Accounts im Visier. Angreifer versuchen hierbei, Zugangsdaten zu kompromittieren, um Zugriff auf Werbekonten und Unternehmensdaten zu erlangen. Dies verdeutlicht die anhaltende Relevanz von Phishing als Einfallstor und die Notwendigkeit von MFA und Schulungen zur Sensibilisierung der Mitarbeiter.
-
Datenleck beim Ajax Fußballclub
Der Fußballclub Ajax Amsterdam wurde Opfer eines Hacks, bei dem Fan-Daten offengelegt und Ticket-Hijacking ermöglicht wurde. Dieser Vorfall zeigt einmal mehr, dass Unternehmen aller Branchen, selbst Sportvereine, attraktive Ziele für Cyberkriminelle sind und robuste Schutzmechanismen für Kundendaten unerlässlich sind.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz und Kryptografie gab es folgende Meldungen:
-
Unverschlüsselte Passwortspeicherung in IBM InfoSphere Information Server
Es wurde bekannt, dass der IBM InfoSphere Information Server Passwörter unverschlüsselt speichert. Dies stellt ein erhebliches Sicherheitsrisiko dar, da im Falle einer Kompromittierung des Systems Passwörter direkt ausgelesen werden könnten. Eine sofortige Überprüfung der Konfiguration und die Implementierung sicherer Speichermethoden sind dringend erforderlich.
-
Datenexposition durch Ajax-Hack
Der eingangs erwähnte Hack des Ajax Fußballclubs führte nicht nur zu Ticket-Hijacking, sondern auch zur Exposition von Fandaten. Dies unterstreicht die direkte Auswirkung von Sicherheitsvorfällen auf den Datenschutz und die damit verbundenen Risiken für die Privatsphäre der Nutzer.
4. Handlungsempfehlungen
Basierend auf den aktuellen Bedrohungen und Schwachstellen empfehlen wir folgende Maßnahmen:
- Priorisiertes Patch-Management: Installieren Sie umgehend alle verfügbaren Patches für kritische Systeme wie ORY Oathkeeper, OneUptime, Incus, Saloon, Masteriyo LMS, Plack::Middleware::Session::Cookie, plank/laravel-mediable, SiYuan, Tandoor Recipes, OpenEMR, WP Job Portal, ASUS Router und Netcore Power 15AX. Achten Sie insbesondere auf die in der CVE-Tabelle genannten Versionen.
-
Überprüfung der Konfiguration:
- Stellen Sie sicher, dass in Saloon-Anwendungen keine unsicheren Deserialisierungsmechanismen (insbesondere `unserialize()` mit `allowed_classes => true`) für sensible Daten verwendet werden.
- Für den IBM InfoSphere Information Server muss die Passwortspeicherung überprüft und auf sichere, verschlüsselte Verfahren umgestellt werden.
- Prüfen Sie bei Plack::Middleware::Session::Cookie, ob ein Geheimnis zum Signieren der Cookies verwendet wird.
- Awareness-Schulungen gegen Phishing: Sensibilisieren Sie Ihre Mitarbeiter und insbesondere Nutzer von Business-Plattformen wie TikTok for Business für aktuelle Phishing-Kampagnen. Ermutigen Sie zur Meldung verdächtiger E-Mails und zur Nutzung von Multi-Faktor-Authentifizierung (MFA).
- Sicherheit von KI-Systemen: Implementieren Sie robuste Sicherheitsmaßnahmen für KI-Workflows und -Plattformen wie Langflow, da diese zunehmend zum Ziel von Angriffen werden. Dies umfasst regelmäßige Audits, sichere Konfiguration und schnelle Reaktion auf gemeldete Schwachstellen.
- Regelmäßige Backups und Notfallpläne: Stellen Sie sicher, dass aktuelle Backups aller kritischen Systeme vorhanden sind und ein Notfallplan für den Fall einer erfolgreichen Kompromittierung besteht.
Fazit
Der heutige Lagebericht zeigt einmal mehr, dass die Bedrohungslage vielschichtig ist. Neben einer Vielzahl kritischer Schwachstellen in weit verbreiteter Software sind auch gezielte Phishing-Kampagnen und die Ausnutzung von Fehlern in KI-Systemen eine ernste Gefahr. Proaktives Patch-Management, eine sicherheitsbewusste Konfiguration und die Schulung der Mitarbeiter sind unerlässlich, um die Resilienz gegenüber Cyberangriffen zu stärken. Bleiben Sie wachsam!
