Täglicher IT-Security-Lagebericht – 06.06.2026

Täglicher IT-Security-Lagebericht vom 06. Juni 2026

Sehr geehrte Leserinnen und Leser,

willkommen zum heutigen IT-Security-Lagebericht vom 06. Juni 2026. Dieser Bericht bietet Ihnen einen kompakten Überblick über die kritischsten Sicherheitsvorfälle, aktuelle Schwachstellen und empfohlene Maßnahmen, um Ihre Systeme zu schützen. Der heutige Fokus liegt auf einer Reihe kritischer Schwachstellen, insbesondere in WordPress-Plugins und Infrastrukturkomponenten, sowie aktuellen Angriffskampagnen, die aktiv ausgenutzt werden.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die wichtigsten neuen oder aktualisierten Common Vulnerabilities and Exposures (CVEs) auf, die in den letzten 24 Stunden bekannt wurden und eine hohe Kritikalität aufweisen oder von besonderer Relevanz sind.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
HIGH (8.8) CVE-2026-11413 / JingDong JD Cloud Box AX6600 – Stack-based buffer overflow Eine Remotely exploitable Stack-based Buffer Overflow Schwachstelle wurde in der Funktion set_macfilter der JingDong JD Cloud Box AX6600 entdeckt. Ein Exploit ist öffentlich verfügbar.
HIGH (8.4) CVE-2026-26422 / clash-verge-service-ipc – Local Privilege Escalation clash-verge-service-ipc vor Version 2.3.0 weist einen weltweit erreichbaren IPC-Endpunkt auf, der zu einer lokalen Privilegieneskalation führen kann.
HIGH (7.5) CVE-2026-9290 / WP User Manager – Local File Inclusion Das WordPress-Plugin „WP User Manager – User Profile Builder & Membership“ (<= 2.9.17) ist anfällig für Local File Inclusion über die Profilvorlagenfunktion. Dies kann zur Ausführung beliebigen PHP-Codes führen.
HIGH (7.3) CVE-2026-11435 / Jinher OA – SQL Injection Eine SQL-Injection-Schwachstelle wurde in Jinher OA 1.0 in der Datei nextselectplan.aspx entdeckt. Die Manipulation des Arguments httpOID ermöglicht Remote-Angriffe. Ein Exploit ist öffentlich verfügbar.
HIGH (7.3) CVE-2026-11437 / perfree go-fastdfs-web – Server-Side Request Forgery Eine Schwachstelle für Server-Side Request Forgery wurde in perfree go-fastdfs-web (bis 1.3.7) in der Funktion checkServer der Komponente „Installation Endpoint“ gefunden. Remote-Angriffe sind möglich, ein Exploit wurde veröffentlicht.
HIGH (7.2) CVE-2026-8438 / All-In-One Security (AIOS) – Stored XSS Das WordPress-Plugin „All-In-One Security (AIOS)“ (<= 5.4.7) ist anfällig für Stored Cross-Site Scripting (XSS) durch unzureichende Eingabevalidierung und fehlende Ausgabe-Maskierung. Unauthentifizierte Angreifer können beliebigen JavaScript-Code in Debug-Logs einschleusen.
HIGH (7.2) CVE-2026-8901 / Integration for Freshsales – Stored XSS Das WordPress-Plugin „Integration for Freshsales“ (<= 1.0.15) ist anfällig für Stored XSS über Formulardaten bei fehlgeschlagenen CRM API-Aufrufen, die in den Admin-Fehlerprotokollen angezeigt werden.
HIGH (7.2) CVE-2026-7537 / MDJM Event Management – Arbitrary File Upload Das WordPress-Plugin „MDJM Event Management“ (<= 1.7.8.3) ermöglicht authentifizierten Administratoren das Hochladen beliebiger Dateitypen über die Funktion mdjm_send_comm_email, was zu Remote Code Execution führen kann.
HIGH (7.2) CVE-2026-9851 / Booking Package – Privilege Escalation via Account Takeover Das WordPress-Plugin „Booking Package“ (<= 1.7.16) ist anfällig für Privilegieneskalation. Authentifizierte Editoren können die E-Mail-Adresse und das Passwort beliebiger Konten, einschließlich Administratorkonten, ändern und so eine vollständige Site-Übernahme ermöglichen.
MEDIUM (6.6) CVE-2026-7566 / LearnPress – PHP Object Injection Das WordPress-Plugin „LearnPress – Backup & Migration Tool“ (<= 4.1.4) ist anfällig für PHP Object Injection durch Deserialisierung von nicht vertrauenswürdigen Eingaben.
MEDIUM (6.5) CVE-2026-9829 / Photo Gallery by 10Web – Time-based SQL Injection Das WordPress-Plugin „Photo Gallery by 10Web“ (<= 1.8.41) ist anfällig für Time-based SQL Injection über den Shortcode-Parameter compact_album_order_by. Authentifizierte Contributor können sensible Daten aus der Datenbank extrahieren.
MEDIUM (6.4) CVE-2026-8893 / Express Payment For Stripe – Stored XSS Das WordPress-Plugin „Express Payment For Stripe“ (<= 1.28.0) ist anfällig für Stored XSS über das 'type'-Attribut des [stripe-express] Shortcodes. Authentifizierte Contributor können Skripte einschleusen.
MEDIUM (6.4) CVE-2026-8900 / Simple SEO Slideshow – Stored XSS Das WordPress-Plugin „Simple SEO Slideshow“ (<= 1.2.8) ist anfällig für Stored XSS über Shortcode-Attribute. Authentifizierte Contributor können Skripte in Seiten einschleusen.
MEDIUM (6.4) CVE-2026-9281 / Master Addons For Elementor – Stored XSS Das WordPress-Plugin „Master Addons For Elementor“ (<= 3.1.0) ist anfällig für Stored XSS über die Page Setting 'jtlma_custom_js'. Authentifizierte Autoren können Skripte einschleusen.
MEDIUM (6.4) CVE-2026-7795 / Click to Chat – WA Widget – Stored XSS Das WordPress-Plugin „Click to Chat – WA Widget“ (<= 4.38) ist anfällig für Stored XSS über den 'num'-Parameter des [chat] Shortcodes. Authentifizierte Contributor können Skripte einschleusen.

2. Bedrohungsanalysen und Angriffskampagnen

Die Bedrohungslandschaft bleibt dynamisch, mit mehreren kritischen Schwachstellen, die aktiv von Angreifern ausgenutzt werden:

  • Aktive Ausnutzung von Cisco- und SolarWinds-Schwachstellen: Cisco hat vor einer neuen, aktiv ausgenutzten Sicherheitslücke in SD-WAN-Produkten gewarnt und gleichzeitig kritische Lücken in Unified CM und anderen Produkten geschlossen. Parallel dazu werden bestehende Schwachstellen in SolarWinds-Produkten, wie dem Web Help Desk und Serv-U, weiterhin von Angreifern ausgenutzt, um Server lahmzulegen oder Zugangsdaten zu kompromittieren, wie die CISA bestätigt. Dies unterstreicht die Notwendigkeit schneller Patch-Zyklen und umfassender Überwachung für kritische Infrastrukturkomponenten.
  • Kritische WordPress-Angriffe: Eine kritische Schwachstelle im „Everest Forms Pro“ Plugin für WordPress wird aktiv ausgenutzt, um Websites zu übernehmen. Dies passt zum Trend einer Vielzahl weiterer WordPress-Plugin-Schwachstellen (wie in unserer CVE-Liste zu sehen), die potenziell für XSS, Dateiuploads oder Privilegieneskalation ausgenutzt werden können. WordPress-Administratoren müssen hier besonders wachsam sein.
  • Neue Malware im Einsatz durch Chinesische APTs: Eine chinesische Advanced Persistent Threat (APT)-Gruppe setzt neue Malware ein, um dauerhaften Zugang zu kompromittierten Netzwerken zu sichern. Dies unterstreicht die anhaltende Bedrohung durch staatlich unterstützte Akteure und die Notwendigkeit robuster Erkennungs- und Abwehrmechanismen.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz und Kryptografie gab es heute keine besonderen Vorkommnisse oder neuen Meldungen, die spezifische Schwachstellen oder Kampagnen betreffen. Die allgemeine Sensibilisierung für Datenschutzfragen und die Einhaltung kryptografischer Best Practices bleiben jedoch stets relevant.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen empfehlen wir dringend die folgenden Maßnahmen:

  • Systematische Patch-Verwaltung: Priorisieren Sie das Patchen der in Abschnitt 1 genannten kritischen Schwachstellen. Dies betrifft insbesondere:
    • JingDong JD Cloud Box AX6600 (CVE-2026-11413)
    • clash-verge-service-ipc (CVE-2026-26422)
    • Jinher OA (CVE-2026-11435)
    • perfree go-fastdfs-web (CVE-2026-11437)
    • Alle betroffenen WordPress-Plugins (WP User Manager, AIOS, Integration for Freshsales, MDJM Event Management, Booking Package, LearnPress, Photo Gallery by 10Web, Express Payment For Stripe, Simple SEO Slideshow, Master Addons For Elementor, Click to Chat – WA Widget). Stellen Sie sicher, dass alle WordPress-Installationen und Plugins auf dem neuesten Stand sind und nicht genutzte Plugins deaktiviert/entfernt werden.
  • Browser-Updates: Führen Sie zeitnah Updates für Ihren Webbrowser durch. Google Chrome hat beispielsweise ein Update veröffentlicht, das 429 Sicherheitslücken schließt.
  • Infrastruktur-Updates: Stellen Sie sicher, dass Netzwerkkomponenten wie Cisco SD-WAN, Unified CM und SolarWinds Web Help Desk/Serv-U umgehend auf die neuesten, gepatchten Versionen aktualisiert werden.
  • Zugriffsmanagement: Überprüfen Sie regelmäßig die Zugriffsrechte und nutzen Sie das Prinzip der geringsten Rechte. Achten Sie auf Router-Konfigurationen, die Zugangsdaten offenlegen könnten, wie im Fall des Acer Wave 7 Routers.
  • Mitarbeitersensibilisierung: Schärfen Sie das Bewusstsein der Mitarbeiter für Phishing-Versuche und verdächtige Login-Aufforderungen, auch auf vermeintlich vertrauenswürdigen Websites, wie die jüngsten Vorfälle mit Polyfill-Login-Prompts auf Toshiba- und Muji-Websites zeigen.

Fazit

Der 06. Juni 2026 unterstreicht die fortwährende Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen, insbesondere im WordPress-Ökosystem und bei Infrastrukturkomponenten wie Cisco und SolarWinds, erfordert schnelle und entschlossene Maßnahmen. Bleiben Sie wachsam, implementieren Sie zeitnahe Patches und überprüfen Sie regelmäßig Ihre Sicherheitskonfigurationen, um den Risiken durch aktive Angriffskampagnen effektiv zu begegnen.

Trending

Täglicher IT-Security-Lagebericht – 06.06.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux