Täglicher IT-Security-Lagebericht vom 08.05.2026
Sehr geehrte Leserinnen und Leser,
der heutige Lagebericht für den 08. Mai 2026 beleuchtet eine Reihe kritischer Schwachstellen, die eine sofortige Aufmerksamkeit erfordern. Insbesondere weisen zahlreiche Anwendungen und Systeme hochkritische Remote Code Execution (RCE) und Authentifizierungs-Bypass-Schwachstellen auf. Zudem gab es Berichte über aktive Ausnutzung und Datenlecks, die die Notwendigkeit proaktiver Sicherheitsmaßnahmen unterstreichen.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle listet eine Auswahl der kritischsten Schwachstellen, die in jüngster Zeit veröffentlicht wurden:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-41070: openvpn-auth-oauth2 Plugin Bypass | Authentifizierungs-Bypass in openvpn-auth-oauth2 im experimentellen Plugin-Modus, wodurch Clients ohne SSO-Unterstützung fälschlicherweise zugelassen werden. Version 1.27.3 patched. |
| CRITICAL (10.0) | CVE-2026-42298: Postiz AI – Pwn Request RCE | Remote Code Execution in Postiz AI (Social Media Tool) via manipulierten Dockerfile in Pull Requests, wodurch ein hochprivilegierter GITHUB_TOKEN exfiltriert werden kann. Patch in Commit da44801. |
| CRITICAL (9.9) | CVE-2025-69691: Netgate pfSense CE – Code Execution | Code-Ausführung in Netgate pfSense CE 2.8.0 über die XMLRPC API mittels pfsense.exec_php. (Hersteller bestreitet Kritikalität, da Admin-Zugriff erforderlich). |
| CRITICAL (9.9) | CVE-2026-41512: ai-scanner – JavaScript Injection RCE | Remote Code Execution in ai-scanner (AI model safety scanner) durch JavaScript-Injection in BrowserAutomation::PlaywrightService. Version 1.4.1 patched. |
| CRITICAL (9.9) | CVE-2026-42454: Termix – Command Injection RCE | Authentifizierte Remote Code Execution in Termix (Server Management Platform) durch Command Injection in containerId-Parameter bei Docker-Container-Management-Endpunkten. Version 2.1.0 patched. |
| CRITICAL (9.8) | CVE-2026-41500: electerm – Command Injection (Mac) | Command Injection in electerm (Terminal/SSH Client) in der runMac()-Funktion durch unvalidierte Einfügung von releaseInfo.name in einen exec("open ...")-Befehl. Version 3.3.8 patched. |
| CRITICAL (9.8) | CVE-2026-41501: electerm – Command Injection (Linux) | Command Injection in electerm (Terminal/SSH Client) in der runLinux()-Funktion durch unvalidierte Einfügung von Versions-Strings in einen exec("rm -rf ...")-Befehl. Version 3.3.8 patched. |
| CRITICAL (9.8) | CVE-2026-42208: LiteLLM – Database Query Injection | Datenbank-Query-Injection in LiteLLM (LLM API Proxy Server), die das Auslesen und Modifizieren von Datenbankdaten ermöglicht. Version 1.83.7 patched. |
| CRITICAL (9.8) | CVE-2023-46453: GL.iNet – Authentication Bypass | Authentifizierungs-Bypass in GL.iNet-Geräten mit 4.x Firmware durch einen SQL- und Regex-validen Benutzernamen, der administrative Kontrolle ermöglicht. Betrifft diverse Modelle. |
| CRITICAL (9.8) | CVE-2026-8153: Universal Robots PolyScope – OS Command Injection | Unauthentifizierte OS Command Injection im Dashboard Server Interface von Universal Robots PolyScope Versionen vor 5.21.1. |
| CRITICAL (9.8) | CVE-2026-41497: PraisonAI – Command Injection Bypass | Command Injection in PraisonAI (Multi-Agent System) aufgrund fehlender Allowlist/Validierung in parse_mcp_command(), die beliebige Code-Ausführung ermöglicht. Version 4.6.9 patched. |
| CRITICAL (9.8) | CVE-2026-41507: math-codegen – RCE via String Literal | Remote Code Execution in math-codegen durch unsaubere Injektion von String-Literalen in den Body einer neuen Funktion, wenn Benutzereingaben den Parser erreichen. Version 0.4.3 patched. |
| CRITICAL (9.8) | CVE-2026-44335: PraisonAI – SSRF Bypass | Server-Side Request Forgery (SSRF) Bypass in PraisonAI durch einen logischen Fehler in der URL-Prüflogik. Version 1.6.32 patched. |
| CRITICAL (9.8) | CVE-2026-37431: Beauty Parlour Management System – SQL Injection | SQL Injection in Beauty Parlour Management System v1.1 über den aptnumber-Parameter im /appointment-detail.php-Endpunkt, ermöglicht Zugriff auf sensible Datenbankinformationen. |
| CRITICAL (9.8) | CVE-2026-38360: fohrloop dash-uploader – Directory Traversal RCE | Directory Traversal in fohrloop dash-uploader v.0.1.0 bis v.0.7.0a2 ermöglicht Remote Code Execution über HTTP-Request-Handler-Komponenten. |
2. Bedrohungsanalysen und Angriffskampagnen
- Ivanti EPMM-Schwachstellen aktiv ausgenutzt: Ivanti hat Updates für mehrere, bereits aktiv ausgenutzte Sicherheitslücken in seiner Enterprise Mobility Management (EPMM)-Plattform veröffentlicht. Die US-amerikanische CISA hat Behörden eine viertägige Frist zur Behebung dieser Zero-Day-Schwachstellen gesetzt, was die hohe Dringlichkeit unterstreicht. Organisationen, die Ivanti EPMM einsetzen, sollten umgehend Patches einspielen und ihre Systeme auf Kompromittierung überprüfen.
- „Dirty Frag“: Kritische Linux-Lücken für Root-Rechte: Eine Reihe von Schwachstellen, zusammengefasst unter dem Namen „Dirty Frag“, ermöglicht es Angreifern, Root-Rechte auf Linux-Systemen zu erlangen. Diese Lücken stellen ein erhebliches Risiko für die Integrität und Sicherheit von Linux-Infrastrukturen dar und erfordern umgehende Kernel-Updates.
- Trellix Source Code Breach durch RansomHouse: Die RansomHouse-Hackergruppe beansprucht, den Quellcode des Cybersicherheitsanbieters Trellix erbeutet zu haben. Ein solcher Bruch bei einem Sicherheitsunternehmen ist besonders besorgniserregend, da er Angreifern Einblicke in proprietäre Abwehrmechanismen ermöglichen und somit zukünftige Angriffe erleichtern könnte.
3. Datenschutz & Kryptografie
- NVIDIA GeForce NOW Datenleck: NVIDIA hat ein Datenleck bei GeForce NOW bestätigt, das armenische Nutzer betrifft. Details zum Umfang und den betroffenen Daten sind noch unklar, Nutzer sollten jedoch wachsam sein.
- Zara Datenleck mit 197.000 Betroffenen: Bei einem Datenleck beim Modehändler Zara wurden persönliche Informationen von rund 197.000 Personen offengelegt. Betroffene sollten auf Phishing-Versuche achten und bei Bedarf Passwörter ändern.
4. Handlungsempfehlungen
Angesichts der aktuellen Bedrohungen empfehlen wir folgende Maßnahmen:
- Umgehende Patch-Verwaltung: Priorisieren Sie das Einspielen von Patches für alle in diesem Bericht genannten kritischen Schwachstellen, insbesondere für Ivanti EPMM, Linux-Kernel (bezüglich „Dirty Frag“), electerm, Termix, ai-scanner, LiteLLM und PraisonAI. Überprüfen Sie auch GL.iNet-Firmware-Updates.
- Vollständige Updates für Endgeräte und Infrastruktur: Stellen Sie sicher, dass alle Systeme, einschließlich Google Chrome (Version 148 schließt 127 Lücken) und Cisco Unity Connection, auf dem neuesten Stand sind.
- Überprüfung von Webanwendungen: Für Anwendungen wie Netgate pfSense CE und Beauty Parlour Management System sind strenge Zugriffskontrollen für Administrator-APIs und robuste Input-Validierung zum Schutz vor SQL-Injection und Code-Ausführung unerlässlich.
- Sicherheitsbewusstsein und -schulung: Sensibilisieren Sie Entwickler und Administratoren für sichere Codierungspraktiken, insbesondere im Umgang mit Benutzereingaben und externen Datenquellen, um Command Injection und RCE zu verhindern (z.B. in Postiz, math-codegen, fohrloop dash-uploader).
- Monitoring und Incident Response: Verstärken Sie die Überwachung auf ungewöhnliche Aktivitäten und bereiten Sie sich auf potenzielle Incident-Response-Szenarien vor, insbesondere im Lichte der aktiv ausgenutzten Ivanti-Lücken und Datenlecks.
- Überprüfung von externen Services: Betrachten Sie die Meldungen zu Datenlecks (NVIDIA, Zara, Trellix) als Anlass, die eigenen Verträge und Sicherheitsmechanismen mit Drittanbietern kritisch zu prüfen und gegebenenfalls Anpassungen vorzunehmen.
Fazit
Der heutige Bericht unterstreicht einmal mehr die hohe Dynamik im Bereich der IT-Sicherheit. Die Vielzahl kritischer Remote Code Execution-Schwachstellen und aktiver Angriffskampagnen erfordert eine schnelle und entschlossene Reaktion. Proaktives Patch-Management, kontinuierliche Überwachung und ein geschärftes Sicherheitsbewusstsein sind unerlässlich, um die digitale Infrastruktur effektiv zu schützen.
