Sehr geehrte Leserinnen und Leser,
Willkommen zum täglichen IT-Security-Lagebericht für den 02. Juni 2026. Die digitale Bedrohungslandschaft bleibt dynamisch, mit einer Reihe kritischer Schwachstellen, die aktiv ausgenutzt werden, und neuen Entwicklungen bei Angriffswerkzeugen. Dieser Bericht fasst die wichtigsten Erkenntnisse des heutigen Tages zusammen, um Sie über aktuelle Risiken zu informieren und Ihnen konkrete Handlungsempfehlungen zu geben.
1. Aktuelle CVEs und Schwachstellen
Die folgenden kritischen und hochkritischen Schwachstellen wurden in den letzten 24 Stunden bekannt oder erhielten besondere Aufmerksamkeit:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-7312 | CWE‑522: Insufficiently Protected Credentials in web services in Progress Sitefinity version from 14.0.7700 to 14.4.8152, and 15.0.8200 to 15.0.8234, and 15.1.8300 to 15.1.8335, 15.2.8400 to 15.2.8441, 15.3.8500 to 15.3.8531, and 15.4.8600 to 15.4.8630 allows a remote unauthenticated attacker to obtain plain-text credentials used connect to Sitefinity Insight service. Successful exploitation requires active integration with Sitefinity Insight and non-default site configuration. |
| CRITICAL (9.8) | CVE-2026-8206 | The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions 6.0.0 to 6.0.6. This is due to the plugin accepting an arbitrary email address when a username is used in the password reset request. This makes it possible for unauthenticated attackers to send a password reset link for any user registered on the site to their own email address. |
| CRITICAL (9.8) | CVE-2025-53209 | Incorrect Privilege Assignment vulnerability in Themeisle Masteriyo LMS PRO allows Privilege Escalation. This issue affects Masteriyo LMS PRO: from n/a through 2.20.0. |
| CRITICAL (9.8) | CVE-2026-7198 | CWE-284: Improper Access Control in web services in Progress Sitefinity 15.4.8623 before 15.4.8630 allows a remote unauthenticated attacker to access content that should be restricted, resulting in full compromise of confidentiality, integrity, and availability of affected installations. |
| CRITICAL (9.8) | CVE-2026-47117 | OpenMed before 1.5.2 contains a remote code execution vulnerability in the PII privacy-filter model loading path. The privacy-filter dispatcher used broad substring matching on the user-supplied model_name parameter, allowing a value such as attacker/foo-privacy-filter-bar to route through a path that loads Hugging Face models with trust_remote_code=True. An unauthenticated attacker can supply a malicious model repository containing custom Transformers code via auto_map in config.json or tokenizer_config.json, which is imported and executed with the privileges of the OpenMed service process. |
| CRITICAL (9.8) | CVE-2026-0611 | Spacelabs Healthcare Sentinel versions 10.5.x and higher and 11.x.x before 11.6.0 contain an unauthenticated remote code execution vulnerability through a deprecated .NET Remoting HTTP channel exposed on port 8989 that allows attackers to perform arbitrary file read and write operations by supplying valid .NET URI endpoints. Attackers can write ASPX webshells to the IIS wwwroot directory to achieve unauthenticated remote code execution on the system. Port 8989 is not exposed in a default Sentinel installation; exploitation requires that the .NET Remoting port has been explicitly made network-accessible through deliberate configuration or network policy changes. |
| CRITICAL (9.8) | CVE-2026-5076 | The ARMember Premium plugin for WordPress is vulnerable to an insecure password reset mechanism in all versions up to, and including, 7.3.1. The plugin stores a plaintext copy of the password reset key in the `arm_reset_password_key` user meta field when a user requests a password reset. This is in addition to the hashed key that WordPress core stores securely in `wp_users.user_activation_key`. The plaintext key stored in `wp_usermeta` can be used with the plugin’s custom `armrp` reset action to set a new password for any user. Combined with another vulnerability such as SQL Injection (CVE-2026-5073, CVE-2026-5074), this makes it possible for unauthenticated attackers to extract the plaintext reset key and take over any user account, including administrators. |
| CRITICAL (9.8) | CVE-2026-49448 | authentik is an open-source identity provider. Prior to versions 2025.12.6, 2026.2.4, and 2026.5.1, the Source stage can be bypassed by sending an empty POST. This issue has been patched in versions 2025.12.6, 2026.2.4, and 2026.5.1. |
| CRITICAL (9.6) | CVE-2026-32625 | LibreChat is an enhanced ChatGPT clone that supports multiple AI providers. In versions up to and including 0.8.3, the Model Context Protocol (MCP) server integration resolves ${VAR} placeholders against the server’s process.env during Zod schema validation of user-supplied MCP server URLs. Any authenticated user can create a malicious MCP server configuration with a URL pointing to an attacker-controlled domain containing environment variable references, causing the LibreChat server to connect to the attacker’s server and transmit critical secrets such as CREDS_KEY, CREDS_IV, JWT_SECRET, and MONGO_URI in the request URL. This enables full compromise of the installation’s cryptographic materials and database credentials without requiring administrative privileges. This is patched in version 0.8.4-rc1. |
| CRITICAL (9.3) | CVE-2026-42684 | Improper Neutralization of Special Elements used in an SQL Command (‚SQL Injection‘) vulnerability in Ahmad WP Job Portal allows Blind SQL Injection. This issue affects WP Job Portal: from n/a through 2.5.1. |
| CRITICAL (9.3) | CVE-2026-42849 | authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, due to the implementation of stages in the SFE (Simple Flow Executor) in order to make the interface more compatible with legacy browsers, it was possible to use an XSS exploit in the AutosubmitStage. This issue has been patched in versions 2025.12.5 and 2026.2.3. |
| CRITICAL (9.1) | CVE-2026-10629 | SIP signaling stack in Verizon IMS (unspecified version) implements SIP signaling without IPsec integrity protection (missing Security-Client/Security-Server headers and ESP traffic), which allows an on-path attacker to compromise confidentiality, integrity, and authenticity of VoLTE signaling via passive monitoring and active manipulation of unsecured SIP messages over the radio and core network. |
| HIGH (8.8) | CVE-2026-1784 | The Route OpenShift resource allows to define routes to make pods reachable at a subdomain through HAProxy. It was found that the checks performed on the spec.path YAML stanza in a Route document was insufficient and could allow a controlled injection of the HAProxy configuration. |
| HIGH (8.8) | CVE-2025-53345 | Missing Authorization vulnerability leading to code execution after installing malicious vulnerable plugin in ThimPress Thim Core. This issue affects Thim Core: from n/a through 2.3.3. |
| HIGH (8.8) | CVE-2026-7195 | CWE-20: Improper Input Validation in web services in Progress Sitefinity 14.1.x through 14.3.x, 14.4.x before 14.4.8152, 15.0.x before 15.0.8234, 15.1.x before 15.1.8335, 15.2.x before 15.2.8441, 15.3.x before 15.3.8531, and 15.4.x before 15.4.8630 allows a remote unauthenticated attacker to compromise the integrity and confidentiality of user accounts. Successful exploitation requires user interaction and a non-default site configuration. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Aktive Ausnutzung von Schwachstellen in Unternehmenssystemen
Berichte zeigen eine aktive Ausnutzung kritischer Schwachstellen in weit verbreiteten Unternehmensanwendungen. Insbesondere wurden Angriffe auf Oracle WebLogic-Server sowie kritische Lücken in Windows Servern beobachtet, die eine Remote Code Execution (RCE) ermöglichen. Diese Vorfälle unterstreichen die Dringlichkeit, Patches für bekannte Schwachstellen umgehend einzuspielen, insbesondere für Internet-exponierte Systeme.
-
WordPress-Websites im Visier – Kirki-Schwachstelle aktiv ausgenutzt
Eine kritische Schwachstelle im WordPress-Plugin „Kirki – Freeform Page Builder“ (CVE-2026-8206) wird aktiv ausgenutzt, um Administrator-Konten zu übernehmen. Die Lücke erlaubt es Angreifern, über manipulierte Passwort-Reset-Anfragen Zugriff zu erlangen. Dies verdeutlicht einmal mehr die Notwendigkeit, WordPress-Plugins regelmäßig zu aktualisieren und auf deren Sicherheit zu achten.
-
Aufkommen von KI-gestützten Ransomware-Toolkits
Besorgniserregend ist die Entwicklung von Ransomware-Toolkits, die Künstliche Intelligenz (KI) nutzen, um Angriffsprozesse zu automatisieren, einschließlich der Umgehung von Endpoint Detection and Response (EDR)-Lösungen und der automatischen Erkennung von Active Directory-Strukturen. Diese Entwicklung könnte die Effektivität und Reichweite von Ransomware-Angriffen erheblich steigern und erfordert eine verstärkte Aufmerksamkeit für präventive Maßnahmen und moderne Abwehrstrategien.
3. Datenschutz & Kryptografie
Für den heutigen Tag liegen keine spezifischen Meldungen oder Vorkommnisse im Bereich Datenschutz und Kryptografie vor.
4. Handlungsempfehlungen
Basierend auf den aktuellen Bedrohungen und Schwachstellen empfehlen wir folgende Maßnahmen:
- Priorisierte Patch-Verwaltung: Spielen Sie umgehend alle verfügbaren Patches für die genannten kritischen Schwachstellen ein, insbesondere für:
- Progress Sitefinity (CVE-2026-7312, CVE-2026-7198, CVE-2026-7195)
- WordPress-Plugins: Kirki (CVE-2026-8206), Masteriyo LMS PRO (CVE-2025-53209), ARMember Premium (CVE-2026-5076), WP Job Portal (CVE-2026-42684), ThimPress Thim Core (CVE-2025-53345)
- OpenMed (CVE-2026-47117)
- Spacelabs Healthcare Sentinel (CVE-2026-0611) – Überprüfen Sie zudem die Netzwerkkonfiguration auf exponierte Ports und begrenzen Sie den Zugriff.
- authentik (CVE-2026-49448, CVE-2026-42849)
- LibreChat (CVE-2026-32625) – Sichern Sie Umgebungsvariablen und implementieren Sie die empfohlenen Patches.
- Verizon IMS (CVE-2026-10629) – Stellen Sie die Implementierung von IPsec-Integritätsschutz für SIP-Signalisierung sicher.
- Red Hat OpenShift (CVE-2026-1784) – Überprüfen Sie die Konfigurationen der Route-Ressourcen auf potenzielle HAProxy-Injektionen.
- Regelmäßige Systemhärtung: Überprüfen und härten Sie Ihre Systeme gemäß Best Practices, insbesondere bei öffentlich zugänglichen Diensten und Content-Management-Systemen.
- Netzwerksegmentierung: Implementieren und verstärken Sie die Netzwerksegmentierung, um die Ausbreitung potenzieller Angriffe zu begrenzen.
- Multi-Faktor-Authentifizierung (MFA): Setzen Sie MFA für alle privilegierten Zugänge und möglichst breitflächig für Benutzerkonten ein, insbesondere nach dem Kirki-Vorfall.
- Sicherheits-Monitoring: Verbessern Sie Ihr Monitoring, um verdächtige Aktivitäten, insbesondere im Zusammenhang mit Passwort-Reset-Prozessen oder unautorisierten Zugriffen, frühzeitig zu erkennen.
- Mitarbeiter-Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Social Engineering und Phishing-Angriffe, da viele Schwachstellen auf Benutzerinteraktion angewiesen sein können.
Fazit
Der heutige Lagebericht zeigt erneut, dass Wachsamkeit und proaktives Handeln entscheidend sind. Die schnelle Reaktion auf bekanntgewordene Schwachstellen durch zeitnahes Patchen sowie die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um die Integrität Ihrer Systeme zu gewährleisten. Bleiben Sie informiert und schützen Sie Ihre digitale Infrastruktur.
