Guten Morgen, geschätzte Kolleginnen und Kollegen der IT-Security. Hier ist Ihr täglicher Lagebericht für Mittwoch, den 04. Februar 2026.
Der heutige Bericht hebt eine Reihe kritischer und hochgradiger Schwachstellen hervor, die sofortige Aufmerksamkeit erfordern. Insbesondere weisen wir auf Lücken hin, die unauthentifizierten Zugriff, die Ausführung beliebigen Codes und schwerwiegende Datenmanipulationen ermöglichen. Die Nachrichtenlage bestätigt eine anhaltend hohe Aktivität bei der Ausnutzung bekannter Schwachstellen in verschiedenen Systemen, von Infrastrukturkomponenten bis hin zu Anwendungssoftware.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die kritischsten Schwachstellen auf, die uns heute beschäftigen:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-1633 Synectix LAN 232 TRIO – Unauthentifizierter Zugriff |
Der Synectix LAN 232 TRIO 3-Port seriell-zu-Ethernet-Adapter legt seine Web-Management-Schnittstelle ohne Authentifizierung offen, was nicht authentifizierten Benutzern die Änderung kritischer Geräteeinstellungen oder das Zurücksetzen auf Werkseinstellungen ermöglicht. |
| CRITICAL (10.0) | CVE-2025-59818 Beliebige Befehlsausführung über Dateinamen |
Diese Schwachstelle erlaubt authentifizierten Angreifern die Ausführung beliebiger Befehle auf dem zugrunde liegenden System, indem der Dateiname einer hochgeladenen Datei manipuliert wird. |
| CRITICAL (9.8) | CVE-2025-5329 Martcode Delta Course Automation – SQL Injection |
Eine unsachgemäße Neutralisierung von Sonderzeichen in SQL-Befehlen (SQL Injection) in Martcode Software Inc. Delta Course Automation ermöglicht SQL Injection. Betroffen sind alle Versionen bis einschließlich 04022026. |
| CRITICAL (9.8) | CVE-2025-64712 Unstructured Library – Path Traversal |
Vor Version 0.18.18 erlaubt eine Path-Traversal-Schwachstelle in der Funktion partition_msg, willkürliche Dateien auf dem Dateisystem zu schreiben oder zu überschreiben, wenn bösartige MSG-Dateien mit Anhängen verarbeitet werden. |
| CRITICAL (9.8) | CVE-2026-25505 Bambuddy – Hardcodierter Secret Key & fehlende Auth |
Vor Version 0.1.7 verwendet Bambuddy (selbstgehostetes 3D-Drucker-Management) einen hartcodierten Secret Key für JWTs und viele API-Routen prüfen die Authentifizierung nicht, was Fernzugriff ermöglicht. |
| CRITICAL (9.8) | CVE-2025-13375 IBM Common Cryptographic Architecture (CCA) – Privilegienerhöhung |
IBM Common Cryptographic Architecture (CCA) 7.5.52 und 8.4.82 könnte es einem nicht authentifizierten Benutzer ermöglichen, beliebige Befehle mit erhöhten Privilegien auf dem System auszuführen. |
| CRITICAL (9.8) | CVE-2026-25526 JinJava – Arbitrary Java Execution |
Vor den Versionen 2.7.6 und 2.8.3 ist JinJava anfällig für beliebige Java-Codeausführung mittels eines Bypass durch ForTag, wodurch beliebige Java-Klasseninstanziierungen und Dateizugriffe unter Umgehung von Sandbox-Beschränkungen möglich sind. |
| CRITICAL (9.1) | CVE-2026-25160 Alist – Deaktivierte TLS-Zertifikatsprüfung |
Vor Version 3.57.0 deaktiviert Alist standardmäßig die TLS-Zertifikatsprüfung für ausgehende Speicher-Treiberkommunikation, was MitM-Angriffe ermöglicht und die Vertraulichkeit und Integrität von Benutzerdaten kompromittiert. |
| CRITICAL (9.1) | CVE-2026-25539 SiYuan – Arbitrary File Write (RCE) |
Vor Version 3.5.5 validiert der /api/file/copyFile-Endpunkt in SiYuan den dest-Parameter nicht, was authentifizierten Benutzern das Schreiben von Dateien an beliebigen Orten auf dem Dateisystem ermöglicht und zu RCE führen kann. |
| HIGH (8.8) | CVE-2026-1756 WordPress WP FOFT Loader – Arbitrary File Upload |
Das WP FOFT Loader Plugin für WordPress ist anfällig für willkürliche Dateiuploads aufgrund falscher Dateityp-Validierung, was authentifizierten Angreifern (Author-Level+) RCE ermöglichen kann. |
| HIGH (8.8) | CVE-2026-1819 Karel ViPort – Stored XSS |
Unsachgemäße Neutralisierung von Eingaben während der Webseiten-Generierung (XSS) in Karel Electronics Industry and Trade Inc. ViPort ermöglicht Stored XSS. Betroffen sind Versionen bis 23012026. |
| HIGH (8.8) | CVE-2025-15368 WordPress SportsPress – Local File Inclusion |
Das SportsPress Plugin für WordPress ist anfällig für Local File Inclusion über das Attribut template_name von Shortcodes, was authentifizierten Angreifern (Contributor-Level+) die Ausführung beliebiger PHP-Dateien ermöglicht. |
| HIGH (8.8) | CVE-2026-20098 Cisco Meeting Management – Arbitrary File Upload & RCE |
Eine Schwachstelle im Zertifikatsmanagement von Cisco Meeting Management erlaubt einem authentifizierten, entfernten Angreifer das Hochladen beliebiger Dateien, die Ausführung von Befehlen und die Privilegienerhöhung auf Root. |
| HIGH (8.8) | CVE-2026-25161 Alist – Path Traversal (Autorisierungs-Bypass) |
Vor Version 3.57.0 enthält Alist eine Path-Traversal-Schwachstelle in mehreren Dateivorgang-Handlern. Authentifizierte Angreifer können die Verzeichnisautorisierung umgehen, was unbefugtes Entfernen, Verschieben und Kopieren von Dateien ermöglicht. |
| HIGH (8.4) | CVE-2026-24884 Compressing (Node.js) – Path Traversal (Symlinks) |
Compressing (Node.js Lib) stellt TAR-Archive wieder her und stellt symbolische Links ohne Validierung ihrer Ziele wieder her. Angreifer können Symlinks einbetten, die außerhalb des vorgesehenen Extraktionsverzeichnisses auflösen, was das Überschreiben sensibler Dateien oder die Erstellung neuer Dateien an sicherheitskritischen Orten ermöglicht. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuelle Bedrohungslage ist weiterhin geprägt von der aktiven Ausnutzung bekannter Schwachstellen und gezielten Kompromittierungen von Serverinfrastrukturen:
- Aktive Ausnutzung kritischer Schwachstellen: Es werden vermehrt Angriffe auf verschiedene Systeme beobachtet, die bekannte, teils ältere, aber auch neu entdeckte Schwachstellen ausnutzen. Dies betrifft unter anderem:
- **VMware ESXi:** Die CISA warnt vor der aktiven Ausnutzung einer VMware ESXi-Schwachstelle in Ransomware-Angriffen.
- **SmarterMail:** Angreifer übernehmen SmarterMail-Instanzen als Administratoren durch Ausnutzung bekannter Schwachstellen.
- **n8n:** Kritische n8n-Schwachstellen wurden veröffentlicht, zusammen mit öffentlichen Exploits, was das Risiko einer breiten Ausnutzung erhöht.
- **GitLab:** Die CISA warnt auch vor einer fünf Jahre alten GitLab-Schwachstelle, die aktiv ausgenutzt wird.
- **WatchGuard Firebox und Dell Unity:** Sicherheitsupdates sind erforderlich, da unbefugte Zugriffe bzw. die Ausführung von Schadcode mit Root-Rechten möglich sind.
- **IBM Produkte (WebSphere, Netcool/OMNIbus) und Solarwinds Web Help Desk / FreePBX:** Es gibt Berichte über Schadcode-Lücken und beobachtete Angriffe.
Dies unterstreicht die Notwendigkeit eines stringenten Patch-Managements und der schnellen Reaktion auf veröffentlichte Schwachstellen.
- Kompromittierung von Webserver-Infrastrukturen: Aktuell werden NGINX-Server kompromittiert, um Benutzerdatenverkehr umzuleiten. Solche Angriffe können weitreichende Folgen haben, von Phishing bis hin zur Verteilung von Malware, und weisen auf die Wichtigkeit der Absicherung von Webservern und deren Konfigurationen hin.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz und Kryptografie gibt es heute einen spezifischen Vorfall hervorzuheben:
- Die Schwachstelle CVE-2026-25160 in Alist, einem Dateilistenprogramm, offenbart ein kritisches Problem: Die Anwendung deaktiviert standardmäßig die TLS-Zertifikatsprüfung für alle ausgehenden Speicher-Treiberkommunikationen. Dies macht das System anfällig für Man-in-the-Middle (MitM)-Angriffe, die die vollständige Entschlüsselung, den Diebstahl und die Manipulation aller während der Speichervorgänge übertragenen Daten ermöglichen. Dies kompromittiert massiv die Vertraulichkeit und Integrität von Benutzerdaten und unterstreicht die fundamentale Bedeutung einer korrekten TLS-Implementierung.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir dringend die folgenden Maßnahmen:
- Unverzügliches Patchen kritischer Systeme:
- Aktualisieren Sie unbedingt alle betroffenen Synectix LAN 232 TRIO Adapter. Prüfen Sie die Notwendigkeit von Authentifizierung und implementieren Sie diese, falls möglich.
- Überprüfen und aktualisieren Sie umgehend Martcode Software Inc. Delta Course Automation auf eine Version, die gegen SQL Injection geschützt ist.
- Patchen Sie die unstructured library auf Version 0.18.18 oder höher, um die Path Traversal Schwachstelle zu schließen.
- Aktualisieren Sie Bambuddy auf Version 0.1.7 oder höher und stellen Sie sicher, dass keine hartcodierten Secret Keys verwendet werden und alle API-Routen korrekt authentifiziert sind.
- Installieren Sie die Patches für IBM Common Cryptographic Architecture (CCA) 7.5.52 und 8.4.82.
- Aktualisieren Sie JinJava auf die Versionen 2.7.6 oder 2.8.3, um Arbitrary Java Execution zu verhindern.
- Führen Sie umgehend ein Update von Alist auf Version 3.57.0 durch, um sowohl die TLS-Verifikations- als auch die Path Traversal-Schwachstelle zu beheben.
- Patchen Sie SiYuan auf Version 3.5.5, um die Arbitrary File Write RCE-Möglichkeit zu unterbinden.
- Alle Nutzer von WordPress sollten sicherstellen, dass die Plugins WP FOFT Loader (alle Versionen bis 2.1.39) und SportsPress (alle Versionen bis 2.7.26) aktualisiert oder deinstalliert werden.
- Wenden Sie die notwendigen Sicherheitsupdates für Cisco Meeting Management an.
- Aktualisieren Sie die Compressing Library für Node.js auf Version 1.10.4 oder 2.0.1, um Path Traversal durch Symlinks zu verhindern.
- Patchen Sie Karel Electronics Industry and Trade Inc. ViPort auf eine Version nach dem 23.01.2026, um Stored XSS zu mitigieren.
- Überprüfung der Konfiguration: Stellen Sie sicher, dass bei Systemen mit offenen Management-Schnittstellen (wie Synectix LAN 232 TRIO) eine starke Authentifizierung und, wo möglich, eine Netzwerksegmentierung implementiert ist.
- Monitoring und Log-Analyse: Intensivieren Sie das Monitoring von Webservern (insbesondere NGINX) und kritischen Systemen auf ungewöhnlichen Datenverkehr, Dateizugriffe oder Anmeldeversuche.
- Regelmäßige Schwachstellenscans: Führen Sie regelmäßige Scans durch, um Schwachstellen schnell zu identifizieren und zu beheben.
- Mitarbeitersensibilisierung: Bleiben Sie wachsam bezüglich Phishing-Versuchen und Social Engineering, die oft als initialer Angriffsvektor dienen.
Fazit
Der heutige Lagebericht unterstreicht die anhaltende Bedrohung durch kritische Software-Schwachstellen und deren aktive Ausnutzung. Ein proaktives und umfassendes Patch-Management, kombiniert mit einer robusten Sicherheitsarchitektur und kontinuierlichem Monitoring, ist unerlässlich, um die Integrität und Vertraulichkeit unserer Systeme und Daten zu gewährleisten. Zögern Sie nicht, bei Fragen oder für weitere Analysen auf unser Security-Team zuzukommen.
