Guten Tag, liebe Leserinnen und Leser des IT-Security-Lageberichts. Für den 30. März 2026 fassen wir die wichtigsten Entwicklungen und kritischen Schwachstellen zusammen. Der heutige Bericht beleuchtet eine Reihe kritischer CVEs und aktive Angriffskampagnen, die umgehendes Handeln erfordern und die Notwendigkeit proaktiver Sicherheitsmaßnahmen unterstreichen.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die kritischsten Schwachstellen, die aktuell bekannt sind:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2025-15379 / MLflow Command Injection | Eine Command Injection Schwachstelle in MLflow ermöglicht Angreifern die Ausführung beliebiger Befehle auf Systemen, die manipulierte Modelle bereitstellen. Betrifft Version 3.8.0, behoben in 3.8.2. |
| CRITICAL (10.0) | CVE-2026-5128 / ArthurFiorette steam-trader Sensitive Information Exposure | Eine unauthentifizierte Informationslecks-Schwachstelle in ArthurFiorette steam-trader 2.1.1 erlaubt den Zugriff auf sensible Steam-Kontodaten und Authentifizierungsartefakte. Keine Patches verfügbar. |
| CRITICAL (9.8) | CVE-2026-33032 / Nginx UI Authentication Bypass | Nginx UI bis Version 2.3.5 weist eine Authentifizierungs-Bypass-Schwachstelle im `/mcp_message`-Endpoint auf, die eine vollständige Übernahme des Nginx-Dienstes ermöglicht. Keine Patches verfügbar. |
| CRITICAL (9.8) | CVE-2026-31946 / OpenOlat OpenID Connect JWT Signature Bypass | OpenOlat-Versionen vor 20.2.5 verifizieren im OpenID Connect implicit flow keine JWT-Signaturen, was die Fälschung von Tokens und unauthentifizierten Zugriff ermöglicht. Behoben in Version 20.2.5. |
| CRITICAL (9.8) | CVE-2026-4257 / WordPress Contact Form SSTI to RCE | Das WordPress-Plugin „Contact Form by Supsystic“ (bis 1.7.36) ist anfällig für Server-Side Template Injection (SSTI), was zu Remote Code Execution (RCE) durch unauthentifizierte Angreifer führen kann. |
| CRITICAL (9.6) | CVE-2025-15036 / MLflow Path Traversal | Eine Path Traversal Schwachstelle in MLflow (vor v3.7.0) ermöglicht es Angreifern, durch manipulierte `tar.gz`-Dateien beliebige Dateien zu überschreiben oder Privilegien zu eskalieren. |
| CRITICAL (9.3) | CVE-2026-30562 / SourceCodester Sales and Inventory System Reflected XSS | SourceCodester Sales and Inventory System 1.0 enthält eine Reflected Cross-Site Scripting (XSS) Schwachstelle in der Datei `add_stock.php` über den Parameter „msg“. |
| CRITICAL (9.2) | CVE-2026-34714 / Vim Code Execution | Vim vor Version 9.2.0272 ermöglicht Code-Ausführung unmittelbar beim Öffnen einer manipulierten Datei aufgrund von `%{expr}`-Injection. |
| CRITICAL (9.1) | CVE-2026-34557 / CI4MS Stored XSS (Group/Role Mgmt) | CI4MS vor 0.31.0.0 ist anfällig für Stored XSS in der Gruppen- und Rollenverwaltung, was die Injektion schädlicher JavaScript-Payloads in Admin-Ansichten ermöglicht. Behoben in Version 0.31.0.0. |
| CRITICAL (9.1) | CVE-2026-34558 / CI4MS Stored DOM-Based XSS (Methods Mgmt) | CI4MS vor 0.31.0.0 weist Stored DOM-Based XSS in der Methodenverwaltung auf, wodurch Angreifer JavaScript-Payloads in administrative Oberflächen injizieren können. Behoben in Version 0.31.0.0. |
| HIGH (8.8) | CVE-2026-33030 / Nginx UI Insecure Direct Object Reference (IDOR) | Nginx-UI bis Version 2.3.3 enthält eine IDOR-Schwachstelle, die authentifizierten Benutzern den Zugriff, die Änderung und das Löschen von Ressourcen anderer Benutzer ermöglicht. Keine Patches verfügbar. |
| HIGH (8.8) | CVE-2026-28228 / OpenOlat Server-Side Template Injection (Author Role) | OpenOlat vor den Versionen 19.1.31, 20.1.18 und 20.2.5 erlaubt authentifizierten Benutzern mit der Rolle „Autor“ die Injektion von Velocity-Direktiven, was zur Ausführung von Betriebssystembefehlen führen kann. Behoben in 19.1.31, 20.1.18 und 20.2.5. |
| HIGH (8.8) | CVE-2026-5152 / Tenda CH22 Stack-based Buffer Overflow (formCreateFileName) | Eine Stack-based Buffer Overflow Schwachstelle in Tenda CH22 1.0.0.1 (Funktion `formCreateFileName`) kann aus der Ferne ausgenutzt werden. Exploit ist öffentlich. |
| HIGH (8.8) | CVE-2026-5130 / WordPress Debugger & Troubleshooter Unauthenticated Privilege Escalation | Das WordPress-Plugin „Debugger & Troubleshooter“ (bis 1.3.2) war anfällig für unauthentifizierte Privilegieneskalation durch Cookie-Manipulation. Behoben in Version 1.4.0. |
| HIGH (8.8) | CVE-2026-5154 / Tenda CH22 Stack-based Buffer Overflow (fromSetCfm) | Eine Stack-based Buffer Overflow Schwachstelle in Tenda CH22 1.0.0.1/1.If (Funktion `fromSetCfm`) kann aus der Ferne ausgenutzt werden. Exploit ist öffentlich. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuelle Bedrohungslandschaft ist von aktiven Ausnutzungen kritischer Infrastrukturprodukte und der Entwicklung neuer Angriffstools geprägt:
- Aktive Ausnutzung von Netzwerk-Infrastrukturprodukten: Mehrere kritische Sicherheitsprodukte und Netzwerkkomponenten sind aktuell Ziel von Angriffen. Dazu gehören der FortiClient EMS, der F5 BIG-IP Access Policy Manager sowie Citrix Gateway und NetScaler ADC. Bei letzteren wird insbesondere eine kritische Memory-Schwachstelle aktiv ausgenutzt. Organisationen, die diese Produkte einsetzen, sollten umgehend Patches einspielen und ihre Systeme auf Kompromittierungsindikatoren überprüfen.
- Angriffe auf E-Commerce-Plattformen: Auch E-Commerce-Systeme sind im Fokus von Angreifern. Es wurden aktive Angriffe auf Gambio-Webshops festgestellt, für die dringende Updates verfügbar sind. Händler sind aufgerufen, ihre Systeme schnellstmöglich zu aktualisieren, um Datenverluste und Dienstunterbrechungen zu vermeiden.
- Neue Bedrohungen im Fokus: Ein neues WebSocket-Implantat namens RoadK1ll wurde entdeckt, das zum Pivoting in kompromittierten Netzwerken eingesetzt wird. Dies unterstreicht die Notwendigkeit robuster Erkennungs- und Abwehrmechanismen, um neue Angriffsmuster frühzeitig zu identifizieren.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz wurde bekannt, dass das Gesundheitsunternehmen CareCloud Opfer eines Cyberangriffs wurde, bei dem Patientendaten gestohlen wurden. Dieser Vorfall unterstreicht die fortlaufende Bedrohung für sensible Informationen und die Notwendigkeit robuster Datenschutzmaßnahmen sowie die Einhaltung strenger Compliance-Vorschriften. Auf einer positiveren Note bestätigte Apple, dass der Lockdown Mode auf dem iPhone bisher noch nie erfolgreich gehackt wurde, was dessen Wirksamkeit als Schutzmechanismus für Hochrisikoziele und zum Schutz der Privatsphäre bestätigt.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:
- Priorisierte Patch-Installation: Kritische Schwachstellen, insbesondere in MLflow (CVE-2025-15379, CVE-2025-15036), Nginx UI (CVE-2026-33032, CVE-2026-33030), OpenOlat (CVE-2026-31946, CVE-2026-28228) und WordPress-Plugins (CVE-2026-4257, CVE-2026-5130), müssen umgehend gepatcht werden. Priorisieren Sie die Installation von Hersteller-Updates für FortiClient EMS, F5 BIG-IP Access Policy Manager, Citrix Gateway/NetScaler ADC und Gambio-Webshops.
- Systeme auf aktive Ausnutzung prüfen: Aufgrund der gemeldeten aktiven Angriffskampagnen sollten Betreiber ihre Systeme proaktiv auf Kompromittierungsindikatoren (IoCs) überprüfen. Insbesondere bei den oben genannten Produkten.
- Legacy-Systeme identifizieren und isolieren/ersetzen: Systeme wie ArthurFiorette steam-trader (CVE-2026-5128), die nicht mehr gepflegt werden, aber kritische Schwachstellen aufweisen, sollten isoliert, ersetzt oder außer Betrieb genommen werden, sofern keine Migration möglich ist.
- Erhöhte Wachsamkeit bei Webanwendungen: Speziell bei CMS-Systemen wie WordPress und CodeIgniter 4-basierten Anwendungen (CI4MS – CVE-2026-34557, CVE-2026-34558) sowie E-Commerce-Plattformen sind regelmäßige Updates, Input-Validierung und Code-Reviews unerlässlich, um XSS- und SSTI-Schwachstellen zu vermeiden.
- Datenschutz-Compliance stärken: Angesichts des Datenlecks bei CareCloud sollten Unternehmen ihre Datenschutzrichtlinien, Prozesse und Technologien überprüfen und verstärken, um sensible Daten adäquat zu schützen und die gesetzlichen Anforderungen zu erfüllen.
Fazit
Der 30. März 2026 zeigt erneut die Notwendigkeit proaktiver Sicherheitsmaßnahmen. Mit zahlreichen kritischen Schwachstellen und anhaltenden Angriffskampagnen gegen weit verbreitete Infrastruktur- und Webanwendungen bleibt die Bedrohungslandschaft dynamisch und anspruchsvoll. Die schnelle Implementierung von Patches, das kontinuierliche Monitoring auf aktive Ausnutzung und eine starke Datenschutzhaltung sind entscheidend für die Resilienz von IT-Systemen in unserer vernetzten Welt.
