Täglicher IT-Security-Lagebericht – 11.03.2026

Sehr geehrte Leserinnen und Leser,

willkommen zu Ihrem täglichen IT-Security-Lagebericht vom 11. März 2026. Der heutige Bericht hebt eine Reihe kritischer Schwachstellen hervor, die dringende Aufmerksamkeit erfordern, sowie aktuelle Bedrohungen, die von Patch-Veröffentlichungen bis hin zu gezielten Angriffen reichen. Die Notwendigkeit proaktiver Sicherheitsmaßnahmen ist einmal mehr offensichtlich.

1. Aktuelle CVEs und Schwachstellen

Die folgenden kritischen Schwachstellen wurden kürzlich bekannt und sollten umgehend evaluiert und adressiert werden:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (10.0) CVE-2026-27897: Vociferous – Directory Traversal Schwachstelle in Vociferous (bis 4.4.2) ermöglicht unauthentifizierten Angreifern mittels Directory Traversal, beliebige Daten an beliebige Orte zu schreiben, aufgrund fehlender Validierung des Dateinamens in der export_file API.
CRITICAL (10.0) CVE-2026-31852: Jellyfin – GitHub Actions RCE Jellyfin (jellyfin/jellyfin-ios) ist anfällig für beliebige Codeausführung über Pull Requests aus Fork-Repositories in GitHub Actions, was zu vollständiger Repository-Übernahme und Kompromittierung führen kann.
CRITICAL (10.0) CVE-2026-31957: Himmelblau – Fehlende Tenant-Scope-Authentifizierung Himmelblau (3.0.0 bis 3.1.0) erlaubt ohne konfigurierte Tenant-Domain Authentifizierungsversuche für beliebige Entra ID-Domains, was ein Risiko in Remote-Authentifizierungsumgebungen darstellt.
CRITICAL (9.9) CVE-2025-66956: Asseco SEE Live 2.0 – Insecure Access Control Unsichere Zugriffskontrolle in Asseco SEE Live 2.0 ermöglicht Fernangreifern den Zugriff und die Ausführung von Anhängen über eine berechenbare URL.
CRITICAL (9.9) CVE-2026-27591: Winter CMS – Authentifizierte Rechteausweitung Winter CMS (vor 1.0.477, 1.1.12, 1.2.12) erlaubt authentifizierten Backend-Benutzern die Eskalation ihrer Zugriffsrechte durch manipulierte Anfragen.
CRITICAL (9.8) CVE-2026-23813: AOS-CX Switches – Authentifizierungs-Bypass Schwachstelle in der webbasierten Verwaltungsoberfläche von AOS-CX Switches ermöglicht unauthentifizierten Fernangreifern die Umgehung von Authentifizierungskontrollen und potenziell das Zurücksetzen des Admin-Passworts.
CRITICAL (9.8) CVE-2026-24448: MR-GM5L-S1 / MR-GM5A-L1 – Hardcoded Credentials Verwendung fest codierter Zugangsdaten in MR-GM5L-S1 und MR-GM5A-L1 kann Angreifern administrativen Zugriff ermöglichen.
CRITICAL (9.8) CVE-2026-27842: MR-GM5L-S1 / MR-GM5A-L1 – Authentication Bypass Authentifizierungs-Bypass in MR-GM5L-S1 und MR-GM5A-L1 ermöglicht Angreifern die Umgehung der Authentifizierung und Änderung der Gerätekonfiguration.
CRITICAL (9.8) CVE-2026-2631: Datalogics Ecommerce Delivery Plugin – Unauthentifizierte Optionenänderung WordPress-Plugin Datalogics Ecommerce Delivery (vor 2.6.60) ermöglicht unauthentifizierten Remote-Benutzern die Änderung der Option `datalogics_token`, was zu Admin-Rechten führen kann.
CRITICAL (9.8) CVE-2026-3826: IFTOP – Local File Inclusion (LFI) IFTOP weist eine Local File Inclusion-Schwachstelle auf, die es unauthentifizierten Remote-Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen.
CRITICAL (9.8) CVE-2026-28229: Argo Workflows – Sensitive Information Disclosure Argo Workflows (vor 4.0.2 und 3.7.11) ermöglicht es jedem Client, WorkflowTemplates abzurufen und sensible Inhalte, einschließlich eingebetteter Secret-Manifeste, preiszugeben.
CRITICAL (9.8) CVE-2025-67041: Lantronix EDS3000PS – Command Injection Lantronix EDS3000PS 3.1.0.0R2: Der Host-Parameter des TFTP-Clients ist nicht korrekt bereinigt, was zur Ausführung beliebiger Befehle mit Root-Rechten führt.
CRITICAL (9.8) CVE-2025-70082: Lantronix EDS3000PS – Remote Code Execution Problem in Lantronix EDS3000PS v.3.1.0.0R2 ermöglicht Angreifern die Ausführung beliebigen Codes und den Abruf sensibler Informationen über die ltrx_evo-Komponente.
CRITICAL (9.8) CVE-2018-25159: Epross AVCON6 – OGNL Injection Epross AVCON6 enthält eine OGNL-Injection-Schwachstelle, die unauthentifizierten Angreifern die Ausführung beliebiger Befehle mit Root-Rechten ermöglicht.
CRITICAL (9.8) CVE-2019-25468: NetGain EM Plus 10.1.68 – Remote Code Execution NetGain EM Plus 10.1.68 weist eine Remote Code Execution-Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, beliebige Systembefehle auszuführen.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuelle Bedrohungslandschaft ist weiterhin von einer hohen Dynamik geprägt. Mehrere wichtige Entwicklungen erfordern unsere Aufmerksamkeit:

  • Welle kritischer Patchdays: Große Softwarehersteller wie Microsoft, Adobe, Fortinet und SAP haben umfassende Patchdays durchgeführt, um eine Vielzahl von teils hochriskanten Schwachstellen zu beheben, darunter zwei Zero-Days bei Microsoft. Dies unterstreicht die Notwendigkeit, Patch-Management-Prozesse konsequent und zeitnah durchzuführen, um Ausnutzung zu verhindern.
  • Aktive Ausnutzung und kritische Infrastruktur-Angriffe: Es gibt weiterhin Warnungen vor der aktiven Ausnutzung von Schwachstellen in weit verbreiteten Produkten wie Ivanti Endpoint Manager und SolarWinds Web Help Desk. Zudem hat CISA eine dringende Anweisung an US-Bundesbehörden herausgegeben, eine RCE-Schwachstelle in n8n zu patchen, die bereits in Angriffen ausgenutzt wird. Der Medtech-Riese Stryker war Berichten zufolge Ziel einer Wiper-Malware-Attacke, die Iran-nahen Akteuren zugeschrieben wird, was die Gefahr für kritische Infrastrukturen verdeutlicht.
  • Supply-Chain-Risiken und Ökosystem-Schwachstellen: Eine neue Welle von PhantomRaven NPM-Angriffen zielt darauf ab, Entwicklerdaten über manipulierte Pakete zu stehlen. Parallel dazu wurde eine SQLi-Schwachstelle im Elementor Ally WordPress-Plugin entdeckt, die über 250.000 WordPress-Sites betrifft. Diese Vorfälle zeigen die anhaltende Bedrohung durch die Kompromittierung von Software-Lieferketten und beliebten Ökosystem-Komponenten.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz gibt es eine bemerkenswerte Entwicklung: WhatsApp führt Konten für Kinder im Vorpubertätsalter ein, die von den Eltern verwaltet werden können. Diese Initiative könnte erhebliche Auswirkungen auf den Schutz der Daten von Minderjährigen haben und wirft Fragen hinsichtlich der Implementierung und der Einhaltung von Datenschutzbestimmungen auf.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:

  • Priorisiertes Patch-Management: Installieren Sie unverzüglich alle verfügbaren Patches für Microsoft-, Adobe-, Fortinet-, SAP-Produkte sowie für Winter CMS, Vociferous, Himmelblau, AOS-CX Switches, MR-GM5L-S1/MR-GM5A-L1, Datalogics Ecommerce Delivery WordPress Plugin, Argo Workflows, Lantronix EDS3000PS, IFTOP, Epross AVCON6 und NetGain EM Plus. Beachten Sie hierbei die hohe Kritikalität vieler dieser Schwachstellen.
  • Überprüfung der API- und Konfigurationssicherheit:
    • Für Vociferous: Stellen Sie sicher, dass die Dateipfadeingabe validiert wird und die CORS-Konfiguration angemessen restriktiv ist. Update auf Version 4.4.2.
    • Für Himmelblau: Konfigurieren Sie immer eine Tenant-Domain, um eine tenant-scoped Authentifizierung sicherzustellen. Update auf Version 3.1.0.
    • Überprüfen Sie Zugriffsrechte und Authentifizierungskontrollen in Asseco SEE Live 2.0, Winter CMS und AOS-CX Switches.
    • Eliminieren Sie fest codierte Zugangsdaten und implementieren Sie robuste Authentifizierungsmechanismen für MR-GM5L-S1 und MR-GM5A-L1.
    • Prüfen Sie REST-API-Endpunkte auf unauthentifizierte Zugriffe und sensitive Datenlecks, insbesondere bei Datalogics Ecommerce Delivery und Argo Workflows.
  • Sicherheit von CI/CD-Pipelines: Überprüfen Sie Ihre GitHub Actions-Workflows, insbesondere in Bezug auf Pull Requests von Fork-Repositories und deren Berechtigungen, um Schwachstellen wie die in Jellyfin (CVE-2026-31852) zu vermeiden.
  • Sorgfältige Software-Beschaffung und -Überprüfung: Seien Sie äußerst vorsichtig bei der Integration von Drittanbieter-Bibliotheken und Plugins (z.B. NPM-Pakete, WordPress-Plugins) und führen Sie regelmäßige Sicherheitsaudits durch, um Supply-Chain-Angriffe zu mitigieren.
  • Netzwerksegmentierung und Überwachung: Isolieren Sie kritische Systeme und implementieren Sie eine umfassende Überwachung, um ungewöhnliche Aktivitäten frühzeitig zu erkennen, insbesondere angesichts der Angriffe auf kritische Infrastrukturen.

Fazit

Der heutige Lagebericht zeigt eine breite Palette an kritischen Bedrohungen, von weit verbreiteten Software-Schwachstellen bis hin zu gezielten Angriffen auf Lieferketten und Infrastrukturen. Ein stringentes Patch-Management, die Absicherung von Entwicklungs- und Betriebsprozessen sowie eine kontinuierliche Überwachung sind entscheidend, um die Widerstandsfähigkeit Ihrer IT-Systeme zu gewährleisten. Bleiben Sie wachsam und proaktiv.

Trending

Täglicher IT-Security-Lagebericht – 11.03.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux