Stand: 07. April 2026
Täglicher IT-Security-Lagebericht
Dieser Lagebericht bietet einen Überblick über aktuelle Bedrohungen, Schwachstellen und relevante Sicherheitsereignisse vom 07. April 2026. Die Sicherheitslandschaft bleibt angespannt, mit einer Vielzahl kritischer Schwachstellen, die umgehende Aufmerksamkeit erfordern, sowie aktiven Angriffskampagnen gegen weit verbreitete Systeme und Infrastrukturen.
1. Aktuelle CVEs und Schwachstellen
Die folgenden kritischen Schwachstellen wurden kürzlich veröffentlicht oder sind von besonderer Relevanz:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-39337 / RCE in ChurchCRM Setup Wizard | Kritische Pre-Authentication Remote Code Execution (RCE) in ChurchCRM (vor 7.1.0) ermöglicht unauthentifizierten Angreifern, beliebigen PHP-Code während der Installation einzuschleusen und den Server vollständig zu kompromittieren. Eine unzureichende Bereinigung der „$dbPassword“-Variable ist die Ursache. |
| CRITICAL (9.9) | CVE-2026-23696 / SQL-Injection in Windmill CE/EE | SQL-Injection-Schwachstelle in Windmill CE und EE (v1.276.0 bis 1.603.2) in der Funktion zur Ordnerbesitzverwaltung. Authentifizierte Angreifer können SQL über den ‚owner‘-Parameter injizieren, sensible Daten lesen (z.B. JWT-Signing-Secret) und arbiträren Code ausführen. |
| CRITICAL (9.9) | CVE-2026-39355 / Broken Access Control in Genealogy App | Kritische Broken Access Control Schwachstelle in der Genealogy PHP-Anwendung (vor 5.9.1). Authentifizierte Benutzer können den Besitz beliebiger nicht-persönlicher Teams übernehmen, was zur vollständigen Kompromittierung von Team-Workspaces und Daten führt. |
| CRITICAL (9.8) | CVE-2026-0740 / Arbitrary File Upload in Ninja Forms | Das WordPress-Plugin Ninja Forms – File Uploads (bis 3.3.26) ist anfällig für Arbitrary File Uploads aufgrund fehlender Dateityp-Validierung. Unauthentifizierte Angreifer können beliebige Dateien hochladen, was Remote Code Execution ermöglichen kann. (Hinweis: In 3.3.27 vollständig behoben.) |
| CRITICAL (9.8) | CVE-2026-1114 / Schwache JWT-Schlüssel in parisneo/lollms | In parisneo/lollms Version 2.1.0 ist die Session-Verwaltung anfällig für eine schwache JWT-Geheimschlüsselnutzung. Angreifer können den Schlüssel offline brute-forcen, administrative Token fälschen und somit Privilegien eskalieren. Behoben in Version 2.2.0. |
| CRITICAL (9.8) | CVE-2021-4473 / Command Injection in Tianxin System | Command-Injection-Schwachstelle im Reporter-Komponente des Tianxin Internet Behavior Management System. Unauthentifizierte Angreifer können beliebige Befehle durch präparierten ‚objClass‘-Parameter ausführen, PHP-Dateien in den Web-Root schreiben und RCE erreichen. (Exploitation seit 2024-06-01 beobachtet.) |
| CRITICAL (9.8) | CVE-2026-22679 / Unauthentifizierte RCE in Weaver E-cology | Unauthentifizierte Remote Code Execution in Weaver (Fanwei) E-cology 10.0 (vor 20260312) über den Endpoint /papi/esearch/data/devops/dubboApi/debug/method. Angreifer können Debug-Funktionen missbrauchen, um beliebige Befehle auszuführen. (Exploitation seit 2026-03-31 beobachtet.) |
| CRITICAL (9.8) | CVE-2026-5731, CVE-2026-5734, CVE-2026-5735 / Memory Safety Bugs in Firefox/Thunderbird | Mehrere Memory Safety Bugs in Firefox (ESR 115.34.0, ESR 140.9.0, 149.0.1) und Thunderbird (ESR 140.9.0, 149.0.1) können zu Speicherbeschädigungen führen und potenziell die Ausführung von beliebigem Code ermöglichen. (Betroffen: Firefox < 149.0.2, Firefox ESR < 115.34.1/140.9.1, Thunderbird < 149.0.2/140.9.1.) |
| CRITICAL (9.8) | CVE-2026-20889, CVE-2026-20911, CVE-2026-21413 / Heap-based Buffer Overflows in LibRaw | Mehrere Heap-based Buffer Overflows in LibRaw (Commit d20315b und 0b56545) in den Funktionen x3f_thumb_loader, HuffTable::initval und lossless_jpeg_load_raw. Präparierte Dateien können zu Heap-Buffer-Overflows führen. |
| CRITICAL (9.8) | CVE-2026-35490 / Authentication Bypass in changedetection.io | Authentication Bypass in changedetection.io (vor 0.54.8) aufgrund falscher Reihenfolge von Dekoratoren in Flask. Dies deaktiviert stillschweigend die Authentifizierung für bestimmte Routen. Behoben in 0.54.8. |
| CRITICAL (9.8) | CVE-2026-4631 / Unauthentifizierte RCE in Cockpit | Die Remote-Login-Funktion von Cockpit übergibt vom Benutzer bereitgestellte Hostnamen und Benutzernamen ohne Validierung an den SSH-Client. Angreifer können über eine einzige HTTP-Anfrage an den Login-Endpunkt bösartige SSH-Optionen oder Shell-Befehle einschleusen, um Codeausführung auf dem Cockpit-Host ohne gültige Anmeldeinformationen zu erreichen. |
2. Bedrohungsanalysen und Angriffskampagnen
- Neue Windows Zero-Day-Lücke „BlueHammer“ entdeckt: Eine kritische Zero-Day-Lücke mit dem Namen „BlueHammer“ wurde in Windows entdeckt, die es Angreifern ermöglicht, ihre Rechte zu erweitern. Details zu dieser Schwachstelle sind noch im Umlauf, was eine hohe Bedrohung für Windows-Systeme darstellt. Organisationen werden dringend gebeten, die Veröffentlichung von Patches genau zu verfolgen.
- Aktive Ausnutzung der Ninja Forms WordPress-Plugin-Lücke: Die kritische Schwachstelle (CVE-2026-0740) im WordPress-Plugin Ninja Forms wird aktiv von Angreifern ausgenutzt. Dies unterstreicht die Notwendigkeit für WordPress-Administratoren, ihre Installationen umgehend zu prüfen und das Plugin auf die gepatchte Version 3.3.27 zu aktualisieren, um eine Kompromittierung zu verhindern.
- Iranische Hacker zielen auf kritische Infrastrukturen ab: Die USA warnt vor einer Zunahme von Aktivitäten iranischer Hackergruppen, die gezielt kritische Infrastrukturen ins Visier nehmen. Dies erfordert erhöhte Wachsamkeit und die Implementierung robuster Abwehrmaßnahmen in Sektoren wie Energie, Wasserversorgung und Telekommunikation. Eine genaue Überwachung von Netzwerkaktivitäten und das Implementieren von Segmentierung sind hier entscheidend.
- Datenklau bei Snowflake-Kunden nach SaaS-Integrator-Angriff: Mehrere Snowflake-Kunden sind von Datenklau betroffen, der auf eine Kompromittierung eines SaaS-Integrators zurückzuführen ist. Dies verdeutlicht das wachsende Risiko von Supply-Chain-Angriffen, bei denen die Schwachstellen von Drittanbietern ausgenutzt werden, um Zugang zu den Systemen der Kunden zu erhalten. Es ist unerlässlich, die Sicherheit von Drittanbietern und SaaS-Diensten genau zu überprüfen.
3. Datenschutz & Kryptografie
- Probleme bei der Schlüsselverwaltung in Android und HCL BigFix:
- Aktuelle Sicherheitspatches für Android adressieren Schwachstellen im Schlüsselspeichersystem, die Angreifer ausnutzen könnten. Nutzer von Android-Geräten sollten sicherstellen, dass ihre Systeme auf dem neuesten Stand sind.
- HCL BigFix steht in der Kritik, da kryptografische Schlüssel offensichtlich nicht sicher genug gespeichert werden. Dies birgt das Risiko einer Kompromittierung sensibler Daten und Systeme, die auf BigFix basieren. Organisationen, die HCL BigFix einsetzen, sollten interne Audits durchführen und sicherstellen, dass die implementierten Sicherheitsmaßnahmen den Best Practices entsprechen.
4. Handlungsempfehlungen
Angesichts der aktuellen Bedrohungslage empfehlen wir folgende Maßnahmen:
- Umgehende Patch-Verwaltung:
- Patchen Sie ChurchCRM auf Version 7.1.0, um die kritische RCE-Schwachstelle zu schließen.
- Aktualisieren Sie Windmill CE und EE auf eine Version > 1.603.2, um die SQL-Injection zu beheben.
- Patchen Sie die Genealogy-Anwendung auf Version 5.9.1.
- Aktualisieren Sie das Ninja Forms – File Uploads WordPress-Plugin umgehend auf Version 3.3.27, da die Schwachstelle (CVE-2026-0740) aktiv ausgenutzt wird.
- Stellen Sie sicher, dass parisneo/lollms auf Version 2.2.0 oder höher aktualisiert wird.
- Überprüfen Sie Tianxin Internet Behavior Management System und aktualisieren Sie es auf NACFirmware_4.0.0.7_20210716.180815_topsec_0_basic.bin oder neuer.
- Aktualisieren Sie Weaver (Fanwei) E-cology 10.0 auf Version 20260312 oder höher.
- Führen Sie umgehend Updates für Firefox, Firefox ESR und Thunderbird auf die jeweils neuesten Versionen durch (> 149.0.2, > 115.34.1, > 140.9.1), um die Memory Safety Bugs zu beheben.
- Aktualisieren Sie LibRaw auf eine Version, die die genannten Heap-based Buffer Overflows behebt.
- Patchen Sie changedetection.io auf Version 0.54.8, um den Authentication Bypass zu schließen.
- Überprüfen Sie Ihre Cockpit-Installationen und wenden Sie entsprechende Sicherheitspatches an, um die kritische RCE-Schwachstelle zu mitigieren.
- Wenden Sie Microsoft-Sicherheitspatches für die „BlueHammer“-Zero-Day-Lücke an, sobald diese verfügbar sind. Priorisieren Sie die Verteilung auf allen betroffenen Windows-Systemen.
- Aktualisieren Sie WatchGuard Firebox Firmware auf die neueste Version, um die Angriffe auf die Weboberfläche zu unterbinden.
- Patchen Sie Ihren Werbeblocker Pi-hole umgehend, um Schadcode-Sicherheitslücken zu schließen.
- Sicherheitsaudits und Konfigurationshärtung:
- Führen Sie regelmäßige Sicherheitsaudits Ihrer WordPress-Installationen und Plugins durch.
- Überprüfen Sie die sichere Speicherung kryptografischer Schlüssel in HCL BigFix Umgebungen und stellen Sie sicher, dass diese Best Practices entsprechen.
- Härten Sie die Konfiguration von Webservern und Anwendungen, um bekannte Angriffsvektoren zu minimieren.
- Überwachung und Reaktion:
- Implementieren und verstärken Sie Monitoring-Maßnahmen für ungewöhnliche Aktivitäten, insbesondere auf Systemen, die potenziell von den genannten Schwachstellen betroffen sind.
- Stellen Sie sicher, dass Ihr Incident-Response-Plan auf dem neuesten Stand ist und regelmäßig getestet wird, um schnell auf Sicherheitsvorfälle reagieren zu können.
- Awareness und Schulung:
- Sensibilisieren Sie Mitarbeiter für Phishing-Angriffe und Social Engineering, insbesondere im Kontext von Datenklau und Zugangsdaten-Diebstahl.
Fazit
Die Bedrohungslandschaft bleibt dynamisch und erfordert eine kontinuierliche und proaktive Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen in weit verbreiteter Software, kombiniert mit aktiven Angriffskampagnen, unterstreicht die Dringlichkeit, System- und Software-Updates zeitnah durchzuführen und strenge Sicherheitsrichtlinien einzuhalten. Bleiben Sie wachsam und informiert.
