Täglicher IT-Security-Lagebericht – 15.05.2026

Sehr geehrte Leserinnen und Leser,

willkommen zum täglichen IT-Security-Lagebericht für den 15. Mai 2026. Der heutige Bericht beleuchtet kritische Schwachstellen in weit verbreiteten Anwendungen wie WordPress-Plugins, Entwickler-Tools und Open-Source-Plattformen. Darüber hinaus analysieren wir aktuelle Bedrohungen, darunter Zero-Day-Exploits, aktive Angriffskampagnen und Supply-Chain-Angriffe. Besonderes Augenmerk liegt auf den umgehenden Handlungsempfehlungen, um Ihre Systeme effektiv zu schützen.

1. Aktuelle CVEs und Schwachstellen

Die nachfolgende Tabelle listet die kritischsten und hochpriorisierten Schwachstellen, die kürzlich bekannt wurden und umgehende Aufmerksamkeit erfordern:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (9.8) CVE-2026-5229: WordPress Form Notify Authentication Bypass Das Form Notify Plugin für WordPress (Versionen bis 1.1.10) ist anfällig für einen Authentication Bypass. Angreifer können durch Manipulation von Cookie-Daten und einem LINE OAuth Login Zugriff auf beliebige Benutzerkonten, einschließlich Administratorkonten, erlangen.
CRITICAL (9.8) CVE-2026-8398: DAEMON Tools Lite Supply Chain Compromise Offizielle Installationspakete von DAEMON Tools Lite (Windows, 12.5.0.2421 – 12.5.0.2434) wurden zwischen dem 8. April und 5. Mai 2026 durch einen Supply-Chain-Angriff kompromittiert. Trojanisierte Binärdateien mit legitimen Signaturen wurden über die offizielle Webseite verbreitet.
CRITICAL (9.8) CVE-2026-44717: MCP Calculate Server Remote Code Execution MCP Calculate Server vor Version 0.1.1 ermöglicht Remote Code Execution durch unsachgemäße Verwendung von eval() zur Auswertung mathematischer Ausdrücke ohne ausreichende Input-Sanitisierung.
CRITICAL (9.8) CVE-2021-47965: WordPress Plugin WP Super Edit Unrestricted File Upload Das WordPress Plugin WP Super Edit (Versionen bis 2.5.4) enthält eine Schwachstelle für uneingeschränkten Datei-Upload in der FCKeditor-Komponente. Angreifer können beliebige Dateien hochladen, um Remote Code Execution zu erreichen.
CRITICAL (9.8) CVE-2026-46364: phpMyFAQ Unauthenticated SQL Injection phpMyFAQ vor Version 4.1.2 weist eine unauthentifizierte SQL-Injection-Schwachstelle in den Methoden BuiltinCaptcha::garbageCollector() und BuiltinCaptcha::saveCaptcha() auf, die unsanitisierte User-Agent-Header in DELETE- und INSERT-Abfragen interpolieren.
CRITICAL (9.1) CVE-2026-41258: OpenMRS Core Remote Code Execution OpenMRS Core (2.7.0 bis 2.7.8 und 2.8.0 bis 2.8.5) erlaubt Remote Code Execution. Die ConceptReferenceRangeUtility.evaluateCriteria() Methode bewertet im Datenbank gespeicherte Kriterien als Apache Velocity Templates ohne Sandbox-Konfiguration.
CRITICAL (9.1) CVE-2026-45010: phpMyFAQ TOTP Bypass via Brute-Force phpMyFAQ vor Version 4.1.2 ist anfällig für eine Umgehung der Zwei-Faktor-Authentifizierung (TOTP) über Brute-Force-Angriffe auf den /admin/check Endpoint, da dieser keine Ratenbegrenzung oder Session-Bindung aufweist.
CRITICAL (9.1) CVE-2026-44551: Open WebUI LDAP Authentication Bypass Open WebUI vor Version 0.9.0 ermöglicht einen LDAP-Authentifizierungs-Bypass, da der LDAP-Endpunkt keine leeren Passwörter validiert, was bei anfälligen LDAP-Servern zur vollständigen Sitzungs-Token-Ausstellung führen kann.
HIGH (8.8) CVE-2026-6228: WordPress Frontend Admin Privilege Escalation Das Frontend Admin Plugin (DynamiApps) für WordPress (bis 3.28.36) ist anfällig für Privilege Escalation. Unzureichende Autorisierungsprüfungen ermöglichen Editoren, Administratorrechte zu erlangen.
HIGH (8.8) CVE-2021-47964: Schlix CMS Remote Code Execution Schlix CMS 2.2.6-6 enthält eine Remote Code Execution Schwachstelle, die es authentifizierten Angreifern erlaubt, PHP-Code durch das Hochladen bösartiger Erweiterungspakete auszuführen.
HIGH (8.8) CVE-2026-45672: Open WebUI Code Execution Bypass Open WebUI vor Version 0.8.12 führt über den /api/v1/utils/code/execute Endpoint beliebigen Python-Code für verifizierte Benutzer aus, selbst wenn die Code-Ausführung administrativ deaktiviert wurde.
HIGH (8.7) CVE-2026-44552: Open WebUI Redis Key Collision Open WebUI vor Version 0.9.0 leidet unter einer Kollision von Redis-Schlüsseln, wenn mehrere Instanzen dieselbe Redis-Datenbank nutzen, was zu Überschreibungen der Konfiguration führen kann.
HIGH (8.7) CVE-2026-45315: Open WebUI Stored Cross-Site Scripting (XSS) Open WebUI vor Version 0.9.3 ermöglicht Stored XSS über den Audio-Transkriptions-Upload-Endpunkt, indem polyglotte Dateien als HTML ausgeliefert werden können.
HIGH (8.6) CVE-2026-2652: MLflow Authentication Bypass MLflow (Versionen bis 3.9.0) weist einen Authentifizierungs-Bypass auf, wenn der Server mit aktivierter Authentifizierung über uvicorn (ASGI) gestartet wird, da nicht alle FastAPI-Routen geschützt sind.
HIGH (8.5) CVE-2026-45331: Open WebUI Server-Side Request Forgery (SSRF) Open WebUI vor Version 0.9.0 enthält eine SSRF-Schwachstelle in validate_url(), die durch unzureichende Validierung von IPv6- und bestimmten IPv4-Adressen private Netzwerkzugriffe ermöglicht.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuellen Schlagzeilen weisen auf mehrere kritische und aktive Bedrohungen hin:

  • Aktive Ausnutzung von Microsoft Exchange Zero-Days: Berichte bestätigen, dass eine bisher unbekannte Zero-Day-Lücke in Microsoft Exchange aktiv ausgenutzt wird. Dies unterstreicht die Dringlichkeit, Exchange-Server umgehend auf die neuesten Sicherheitsupdates zu prüfen und ggf. zusätzliche Schutzmaßnahmen zu implementieren. Auch Windows 11 wurde am zweiten Tag von Pwn2Own erfolgreich mit Zero-Days angegriffen.
  • Neue Rechteausweitung im Linux-Kernel („Fragnesia“): Eine weitere Schwachstelle namens „Fragnesia“ im Linux-Kernel ermöglicht es Angreifern, ihre Rechte auf kompromittierten Systemen auszuweiten. Dies ist ein wiederkehrendes Muster und erfordert von Linux-Administratoren höchste Aufmerksamkeit bei der Patch-Verwaltung.
  • Kompromittierung von WordPress-Plugins und Supply-Chain-Angriffe: Mehrere Meldungen über Schwachstellen und deren Ausnutzung in beliebten WordPress-Plugins (z.B. „Funnel Builder“, „Avada Builder“) sowie die Kompromittierung des node-ipc npm-Pakets zeigen die anhaltende Gefahr durch Drittanbieterkomponenten und Supply-Chain-Angriffe. Solche Angriffe können zu Kreditkartendiebstahl, Zugangsdatenklau oder der Installation von Malware führen. Auch die DAEMON Tools Lite Installationspakete wurden durch einen Supply-Chain-Angriff kompromittiert.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz gibt es eine relevante Entwicklung:

  • Microsoft Edge stoppt das Laden von Passwörtern in den Speicher: Nach öffentlicher Kritik hat Microsoft angekündigt, dass der Edge-Browser das Laden von unverschlüsselten Passwörtern in den Arbeitsspeicher beim Start zukünftig einstellen wird. Dies ist ein wichtiger Schritt zur Verbesserung der Sicherheit und des Datenschutzes von Benutzerdaten und eine gute Praxis, die hoffentlich von anderen Browsern übernommen wird.
  • Ansonsten liegen in den vorliegenden Daten keine weiteren besonderen Vorkommnisse im Bereich Kryptografie vor.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:

  • Dringende Patch-Verwaltung:
    • WordPress-Plugins: Aktualisieren Sie umgehend die Plugins „Form Notify“ (auf Version > 1.1.10), „WP Super Edit“ (Entfernung oder Update, falls noch unterstützt), „Frontend Admin by DynamiApps“ (auf Version > 3.28.36) sowie andere genannte WordPress-Plugins (z.B. Funnel Builder, Avada Builder) auf die neuesten, sicheren Versionen. Prüfen Sie nicht genutzte Plugins und entfernen Sie diese.
    • DAEMON Tools Lite: Überprüfen Sie alle Installationen von DAEMON Tools Lite, insbesondere Versionen 12.5.0.2421 bis 12.5.0.2434, die zwischen April und Mai 2026 heruntergeladen wurden. Führen Sie eine Integritätsprüfung durch und laden Sie bei Bedarf eine saubere Version direkt vom Hersteller herunter. Suchen Sie nach Anzeichen einer Kompromittierung.
    • MCP Calculate Server: Aktualisieren Sie auf Version 0.1.1 oder höher, um die Remote Code Execution Schwachstelle zu schließen.
    • phpMyFAQ: Aktualisieren Sie auf Version 4.1.2 oder höher, um SQL-Injection- und 2FA-Bypass-Schwachstellen zu beheben. Stellen Sie sicher, dass Ratenbegrenzungen für Authentifizierungsversuche implementiert sind.
    • OpenMRS Core: Aktualisieren Sie auf Version 2.7.9 oder 2.8.6, um die Remote Code Execution Schwachstelle zu schließen.
    • Open WebUI: Aktualisieren Sie auf Version 0.9.3 (oder höher für die neuesten Fixes), um LDAP-Bypass, Code Execution Bypass, Redis Key Collision, Stored XSS und SSRF-Schwachstellen zu beheben. Überprüfen Sie zudem die Konfiguration der LDAP-Authentifizierung auf starke Passwortrichtlinien und deaktivieren Sie die Code-Ausführung, wenn nicht benötigt.
    • MLflow: Aktualisieren Sie auf Version 3.10.0, um den Authentifizierungs-Bypass zu schließen, insbesondere wenn Sie mit uvicorn (ASGI) betrieben werden.
    • Schlix CMS: Aktualisieren Sie auf die neueste Version, um die Remote Code Execution Schwachstelle zu beheben.
    • Betriebssysteme und Infrastruktur: Patchen Sie umgehend Microsoft Exchange Server (bzgl. Zero-Day-Angriffen), Windows 11 und Linux-Systeme (bzgl. „Fragnesia“), sowie andere kritische Komponenten wie F5 BIG-IP, Ivanti EPM und VMware Fusion, sobald Patches verfügbar sind.
  • Implementierung von Sicherheitsbest Practices:
    • Supply Chain Security: Seien Sie äußerst vorsichtig beim Herunterladen und Installieren von Software aus Drittquellen oder bei der Verwendung von Bibliotheken in Entwicklungsprojekten. Überprüfen Sie Hashes und digitale Signaturen, wo immer möglich.
    • Starke Authentifizierung: Nutzen Sie Multifaktor-Authentifizierung (MFA) für alle kritischen Systeme und stellen Sie sicher, dass diese robust gegen Brute-Force-Angriffe ist.
    • Netzwerksegmentierung: Isolieren Sie kritische Server und Dienste, um die Auswirkungen potenzieller Kompromittierungen zu minimieren.
    • Regelmäßige Backups: Führen Sie regelmäßige, getestete Backups durch und speichern Sie diese offline.
    • Monitoring: Implementieren Sie robustes Monitoring und Alerting für ungewöhnliche Aktivitäten, insbesondere nach der Installation von Updates.

Fazit

Der heutige Bericht unterstreicht einmal mehr die Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen in weit verbreiteter Software, kombiniert mit aktiven Ausnutzungen und komplexen Supply-Chain-Angriffen, erfordert schnelle und entschlossene Maßnahmen. Priorisieren Sie die aufgeführten Handlungsempfehlungen, um die Integrität und Sicherheit Ihrer IT-Infrastruktur zu gewährleisten. Bleiben Sie wachsam und informiert.

Trending

Täglicher IT-Security-Lagebericht – 15.05.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux