Willkommen zum täglichen IT-Security-Lagebericht vom 16. April 2026. Dieser Bericht bietet einen kompakten Überblick über die wichtigsten Entwicklungen im Bereich der Cyber-Sicherheit. Der heutige Tag ist geprägt von einer Reihe kritischer Schwachstellen in weit verbreiteter Software sowie wichtigen Warnungen zu Zero-Day-Exploits und gezielten Angriffskampagnen.
Wir verzeichnen heute, am 16.04.2026, eine beachtliche Anzahl kritischer Schwachstellen, die unmittelbare Maßnahmen seitens der Systemadministratoren und Entwickler erfordern. Darüber hinaus gibt es relevante Meldungen zu Zero-Days, Malware-Kampagnen und wichtigen Sicherheitsupdates.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die kritischsten und hochrelevantesten CVEs, die am 16.04.2026 bekannt sind:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| 9.8 (CRITICAL) | CVE-2026-4880: WordPress Barcode Scanner Plugin – Privilege Escalation | Schwachstelle zur Rechteausweitung im WordPress-Plugin „Barcode Scanner (+Mobile App)“ (bis 1.11.0), die es unauthentifizierten Angreifern ermöglicht, durch Spoofing der Admin-Benutzer-ID und Ausnutzung einer unsicheren token-basierten Authentifizierung Administratorrechte zu erlangen. |
| 9.8 (CRITICAL) | CVE-2026-40504: Creolabs Gravity – Heap Buffer Overflow | Heap Buffer Overflow in Creolabs Gravity (vor 0.9.6) in der Funktion `gravity_vm_exec`, der durch speziell präparierte Skripte mit vielen String-Literalen zum Schreiben außerhalb der Speicherbereiche und somit zu beliebiger Code-Ausführung führen kann. |
| 9.8 (CRITICAL) | CVE-2026-6350: Openfind MailGates/MailAudit – Stack-based Buffer Overflow | Stack-based Buffer Overflow in Openfind MailGates/MailAudit, der es nicht authentifizierten, entfernten Angreifern ermöglicht, den Programmfluss zu kontrollieren und beliebigen Code auszuführen. |
| 9.8 (CRITICAL) | CVE-2026-3596: WordPress Riaxe Product Customizer Plugin – Privilege Escalation | Privilege Escalation im WordPress-Plugin „Riaxe Product Customizer“ (bis 2.1.2) durch eine unauthentifizierte AJAX-Aktion. Ermöglicht unauthentifizierten Angreifern, beliebige WordPress-Optionen zu aktualisieren und somit Administratorrechte zu erlangen. |
| 9.8 (CRITICAL) | CVE-2026-31843: goodoneuz/pay-uz Laravel Package – Remote Code Execution | Kritische Schwachstelle im Laravel-Paket goodoneuz/pay-uz (<= 2.2.24) im `/payment/api/editable/update`-Endpunkt, die unauthentifizierten Angreifern das Überschreiben bestehender PHP-Payment-Hook-Dateien und somit Remote Code Execution ermöglicht. |
| 9.8 (CRITICAL) | CVE-2026-37345: SourceCodester Vehicle Parking Area Management System – SQL Injection | SQL Injection-Schwachstelle in SourceCodester Vehicle Parking Area Management System v1.0 in der Datei `/parking/manage_park.php`. |
| 9.4 (CRITICAL) | CVE-2026-37338: SourceCodester Simple Music Cloud Community System – SQL Injection | SQL Injection-Schwachstelle in SourceCodester Simple Music Cloud Community System v1.0 in der Datei `/music/view_user.php`. |
| 9.3 (CRITICAL) | CVE-2026-40959: Luanti 5 (with LuaJIT) – Lua Sandbox Escape | Lua-Sandbox-Escape in Luanti 5 (vor 5.15.2) bei Verwendung von LuaJIT, ermöglicht durch ein speziell präpariertes Modul. |
| 9.1 (CRITICAL) | CVE-2026-6270: @fastify/middie – Authentication Bypass | Authentifizierungs-Bypass in @fastify/middie (Versionen 9.3.1 und älter), da geerbte Middleware nicht direkt auf Child-Plugin-Engine-Instanzen registriert wird. Dies ermöglicht unauthentifizierten Zugriff auf Routen in Child-Plugins. |
| 9.1 (CRITICAL) | CVE-2026-37347: SourceCodester Payroll Management and Information System – SQL Injection | SQL Injection-Schwachstelle in SourceCodester Payroll Management and Information System v1.0 in der Datei `/payroll/view_employee.php`. |
| 9.0 (CRITICAL) | CVE-2026-40322: SiYuan – Stored XSS to Arbitrary Code Execution | Stored XSS in SiYuan (bis 3.6.3) über Mermaid-Diagramme mit „loose“ securityLevel. Eskaliert auf Arbitrary Code Execution in Electron-Desktop-Builds (Problem in Version 3.6.4 behoben). |
| 8.8 (HIGH) | CVE-2026-40502: OpenHarness – Command Injection | Command Injection in OpenHarness (vor Commit dd1d235), die es entfernten Gateway-Benutzern mit Chat-Zugriff ermöglicht, sensible administrative Befehle über unzureichende Unterscheidung zwischen lokalen und entfernten Befehlen auszuführen. |
| 8.8 (HIGH) | CVE-2026-6348: Simopro Technology WinMatrix agent – Missing Authentication | Missing Authentication-Schwachstelle im WinMatrix Agent von Simopro Technology, die authentifizierten lokalen Angreifern die Ausführung von beliebigem Code mit SYSTEM-Privilegien auf lokalen und allen Hosts im Netzwerk erlaubt. |
| 8.8 (HIGH) | CVE-2023-3634: Festo MSE6 Product-Family – Undocumented Test Mode Access | In Festo MSE6 Produkten können authentifizierte Angreifer mit geringen Privilegien und Zugriff auf undokumentierte Testfunktionen zu einem vollständigen Verlust von Vertraulichkeit, Integrität und Verfügbarkeit führen. |
| 8.8 (HIGH) | CVE-2026-3614: WordPress AcyMailing Plugin – Privilege Escalation | Privilege Escalation im WordPress-Plugin AcyMailing (von 9.11.0 bis 10.8.1) aufgrund einer fehlenden Capability-Prüfung im AJAX-Handler `wp_ajax_acymailing_router`. Ermöglicht Abonnenten, Admin-Funktionen zu nutzen und Administratorrechte zu erlangen. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Neue Windows Zero-Day Schwachstelle
Ein neuer Windows Zero-Day-Exploit, intern als „RedSun“ bezeichnet und vom Autor der „BlueHammer“-Exploits dokumentiert, wurde bekannt. Dieser ermöglicht Angreifern die Erlangung von SYSTEM-Privilegien auf betroffenen Systemen und stellt eine erhebliche Bedrohung dar. Es wird dringend empfohlen, auf offizielle Patches von Microsoft zu achten und diese umgehend zu installieren, sobald sie verfügbar sind.
-
Spezialisierte Malware für industrielle Kontrollsysteme (ICS/OT)
Die Entdeckung der Malware „ZionSiphon“ alarmiert die Betreiber kritischer Infrastrukturen. Diese Schadsoftware wurde speziell entwickelt, um Wasseraufbereitungssysteme zu sabotieren, was die anhaltende Bedrohung für Operational Technology (OT)-Umgebungen unterstreicht. Unternehmen im ICS/OT-Sektor müssen ihre Abwehrmaßnahmen verstärken und sich auf gezielte Angriffe vorbereiten.
-
Exploitation von Marimo-Schwachstelle für NKAbuse Malware-Bereitstellung
Berichte zeigen, dass Hacker eine Schwachstelle in Marimo ausnutzen, um die NKAbuse-Malware über Hugging Face zu verbreiten. Dies unterstreicht die zunehmende Relevanz von Supply-Chain-Angriffen und die Notwendigkeit, auch vermeintlich sichere Plattformen und genutzte Bibliotheken auf mögliche Schwachstellen und Manipulationen zu überprüfen.
3. Datenschutz & Kryptografie
Für den heutigen Tag liegen keine spezifischen Meldungen oder Schwachstellen im Bereich Datenschutz oder Kryptografie vor, die gesonderte Maßnahmen erfordern. Die allgemeine Wachsamkeit und Einhaltung bewährter Praktiken bleiben jedoch essentiell.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir dringend die folgenden Maßnahmen:
- Systeme umgehend patchen: Installieren Sie alle verfügbaren Sicherheitsupdates für Betriebssysteme (insbesondere Windows) und Anwendungen. Achten Sie auf Patches für die genannten kritischen CVEs in WordPress-Plugins (Barcode Scanner, Riaxe Product Customizer, AcyMailing), Laravel-Paketen (goodoneuz/pay-uz), Openfind MailGates/MailAudit, Creolabs Gravity, @fastify/middie und SiYuan.
- Sicherheit von Drittananbieter-Komponenten prüfen: Überprüfen Sie sorgfältig alle Plugins, Bibliotheken und Komponenten von Drittanbietern, die in Ihren Systemen verwendet werden, insbesondere in Webanwendungen und Entwicklungsumgebungen (z.B. Marimo, Hugging Face).
- ICS/OT-Sicherheit stärken: Betreiber kritischer Infrastrukturen sollten ihre OT-Netzwerke isolieren, den Zugriff streng kontrollieren und spezialisierte Überwachungssysteme implementieren, um Angriffe wie ZionSiphon frühzeitig zu erkennen und abzuwehren.
- Eingabeprüfung und sichere Codierung: Entwickler sollten weiterhin höchste Standards bei der Validierung von Benutzereingaben und der Implementierung sicherer Codierungspraktiken einhalten, um SQL-Injection-Schwachstellen (z.B. in SourceCodester-Produkten) und andere gängige Schwachstellen zu vermeiden.
- Aktualisierung von Browsern und Systemsoftware: Stellen Sie sicher, dass Webbrowser (wie Chrome) und andere essentielle Software (wie Gimp, Tails, Cisco-Produkte) stets auf dem neuesten Stand sind, um von den neuesten Sicherheitsfixes zu profitieren.
Fazit
Der heutige Lagebericht verdeutlicht einmal mehr die dynamische Bedrohungslandschaft. Mit kritischen Zero-Day-Schwachstellen, gezielten Malware-Angriffen auf kritische Infrastrukturen und weit verbreiteten Verwundbarkeiten in gängiger Software ist proaktives Handeln unerlässlich. Eine konsequente Patch-Strategie, sorgfältige Überwachung und die Sensibilisierung der Mitarbeiter sind weiterhin die wichtigsten Säulen einer robusten IT-Sicherheit. Bleiben Sie wachsam und treffen Sie die notwendigen Vorkehrungen, um Ihre Systeme und Daten zu schützen.
Sämtliche hier genannten Marken, Firmen- oder Produktnamen sind Eigentum ihrer jeweiligen Inhaber.
