Täglicher IT-Security-Lagebericht – 19.07.2026
Der tägliche IT-Security-Lagebericht fasst relevante Schwachstellen, Sicherheitsmeldungen und Handlungsempfehlungen kompakt zusammen.
Der heutige Lagebericht für den 19. Juli 2026 hebt kritische Schwachstellen in weit verbreiteten Technologien hervor, die umgehende Aufmerksamkeit erfordern. Insbesondere müssen Unternehmen und Anwender von VMware Avi Load Balancer sowie Nutzer von Fastify-basierten Anwendungen schnellstmöglich handeln, um schwerwiegende Sicherheitslücken zu schließen. Darüber hinaus rücken aktuelle Bedrohungskampagnen, die auf WordPress-Installationen abzielen, in den Fokus der IT-Sicherheit.
Die aktuellen CVE-Einträge zeigen ein erhöhtes Risiko durch Authentifizierungsumgehungen, Remote Code Execution und Directory Traversal. Dies unterstreicht die Notwendigkeit einer proaktiven Patch-Management-Strategie und kontinuierlicher Überwachung der eigenen IT-Infrastruktur.
1. Aktuelle CVEs und Schwachstellen
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| KRITISCH (10.0) | CVE-2026-16117 / @fastify/http-proxy: Prefix Rewrite Bypass | Schwachstelle in @fastify/http-proxy Versionen bis 11.5.0, die ein Umschreiben des Anforderungspräfixes umgeht, wenn dieses URL-kodiert ist. Angreifer können so interne Endpunkte erreichen, die durch den Proxy verborgen werden sollten. Upgrade auf 11.6.0 dringend empfohlen. |
| KRITISCH (9.8) | CVE-2026-47865 / VMware Avi Load Balancer: Authentifizierungsumgehung | Kritische Schwachstelle im VMware Avi Load Balancer, die es einem Angreifer mit Netzwerkzugriff ermöglicht, die Authentifizierung zu umgehen und auf die Avi Control Plane zuzugreifen. Dringend Patches installieren. |
| HOCH (8.8) | CVE-2026-47871 / VMware Avi Load Balancer: Directory Traversal | Fehler in der Dateipfadvalidierung im VMware Avi Load Balancer ermöglichen authentifizierten Angreifern Directory Traversal Angriffe. Patches sind verfügbar. |
| HOCH (8.8) | CVE-2026-16095 / Shibby Tomato: Out-of-Bounds Write | Schwachstelle in Shibby Tomato 1.28 RT-N5x MIPSR2 Build 124 in der Funktion setup_conntrack, die durch Manipulation des Arguments ct_tcp_timeout zu einem Out-of-Bounds Write führt. Fernausführbar. |
| HOCH (8.8) | CVE-2026-16096 / Shibby Tomato: Stack-Based Buffer Overflow | Schwachstelle in Shibby Tomato 1.28 RT-N5x MIPSR2 Build 124 in der Funktion sub_40BB50, die zu einem Stack-Based Buffer Overflow führt. Fernausführbar. |
| HOCH (8.8) | CVE-2026-16097 / Shibby Tomato: Stack-Based Buffer Overflow (Scheduler Name Handler) | Schwachstelle in Shibby Tomato 1.28 im Scheduler Name Handler (Funktion sub_42537C), die durch Argumentmanipulation zu einem Stack-Based Buffer Overflow führt. Fernausführbar. |
| HOCH (8.8) | CVE-2023-54366 / SurrealDB: Standard-Berechtigungen auf FULL | SurrealDB vor Version 1.0.1 setzt Standardtabellenberechtigungen auf FULL statt NONE, was SELECT, CREATE, UPDATE und DELETE Operationen ohne explizite Berechtigungen erlaubt. |
| HOCH (8.8) | CVE-2024-58362 / SurrealDB: RPC API Authentifizierungs-Bypass | SurrealDB vor Version 1.5.5 (und 2.0.0-beta vor 2.0.0-beta.3) akzeptiert beliebige Objekte in RPC API signin/signup Operationen, wodurch Angreifer Subqueries unter Systembenutzer-Session ausführen können. |
| HOCH (8.8) | CVE-2026-11826 / OpenPLC_v3: Heap-Based Buffer Overflow | Heap-Based Buffer Overflow in der getData() Funktion von OpenPLC_v3 in webserver/core/modbus_master.cpp. Authentifizierte Angreifer können den PLC-Prozess zum Absturz bringen und Konfigurationsfelder überschreiben. Betrifft nicht OpenPLC Runtime v4. |
| HOCH (8.7) | CVE-2026-47867 / VMware Avi Load Balancer: Remote Code Execution | Schwachstelle im VMware Avi Load Balancer, die es einem Angreifer mit Netzwerkzugriff ermöglicht, Code auf der Avi Control Plane aus der Ferne auszuführen. Dringend Patches installieren. |
| HOCH (8.7) | CVE-2026-47869 / VMware Avi Load Balancer: Authentifizierte Remote Code Execution | Schwachstelle im VMware Avi Load Balancer, die es einem authentifizierten Angreifer mit Netzwerkzugriff ermöglicht, Code einzuschleusen und auszuführen. Dringend Patches installieren. |
| HOCH (8.7) | CVE-2026-15631 / @fastify/http-proxy: WebSocket Pfad-Traversal | Schwachstelle in @fastify/http-proxy Versionen von 9.4.0 bis 11.5.0, die eine WebSocket-Pfad-Traversal zulässt, wodurch Angreifer Upstream-Endpunkte erreichen können, die nicht exponiert werden sollten. Upgrade auf 11.6.0. |
| HOCH (8.7) | CVE-2026-16158 / @fastify/reply-from: Cross-Upstream Datenzugriff | Schwachstelle in @fastify/reply-from Versionen von 8.3.1 bis 12.6.3, bei der der interne URL-Cache-Schlüssel zu Kollisionen führen kann, was zu Cross-Upstream-Datenzugriff und -Modifikation führt. Upgrade auf 12.6.4 oder disableCache: true verwenden. |
| HOCH (8.7) | CVE-2026-12228 / parisneo/lollms: Stored Cross-Site Scripting (XSS) | Gespeicherte XSS-Schwachstelle im POST /api/prompts/share Endpunkt von parisneo/lollms, die es authentifizierten Angreifern ermöglicht, bösartigen JavaScript-Code im Browser des Opfers auszuführen. |
| HOCH (8.5) | CVE-2024-58366 / SurrealDB: Format String Vulnerability | SurrealDB vor 1.1.1 enthält eine Format String Vulnerability in der rquickjs Exception::throw_type Funktion, wenn Scripting aktiviert ist. Angreifer mit Scripting-Privilegien können beliebigen Speicher lesen oder Code ausführen. |
2. Bedrohungsanalysen und Angriffskampagnen
Die Sicherheitslage ist weiterhin von kritischen Schwachstellen und anhaltenden Angriffskampagnen geprägt:
- Kritische WordPress-Lücke „wp2shell“ wird aktiv ausgenutzt: Eine schwerwiegende Remote Code Execution (RCE)-Schwachstelle im WordPress-Core, bekannt als „wp2shell“, ermöglicht die Codeeinschleusung über die API. Für diese Lücke existieren bereits öffentliche Exploits, was das Risiko für ungepatchte WordPress-Installationen erheblich erhöht. Betreiber sind dringend aufgerufen, ihre Systeme sofort zu aktualisieren.
- Schwachstellen in VMware Avi Load Balancer: Aktuelle Meldungen warnen vor mehreren kritischen Schwachstellen im VMware Avi Load Balancer. Dazu gehören eine Authentifizierungsumgehung (CVE-2026-47865) und Remote Code Execution (CVE-2026-47867, CVE-2026-47869), die Angreifern weitreichenden Zugriff auf die Control Plane ermöglichen könnten. Unternehmen, die diese Lösung einsetzen, sollten die bereitgestellten Updates umgehend einspielen.
- Zunahme von ACR Stealer-Angriffen: Microsoft hat vor einer Welle von ACR Stealer-Angriffen gewarnt. Diese Malware zielt darauf ab, sensible Daten von Opfern zu stehlen. Unternehmen sollten ihre Endpunktsicherheit verstärken und Mitarbeiter für Phishing- und Social-Engineering-Angriffe sensibilisieren, die oft der initiale Angriffsvektor für solche Stealer-Malware sind.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz und Kryptografie gab es heute keine direkten CVEs oder kritischen Vorfälle. Jedoch ist die Entwicklung von Technologien zur Altersverifikation weiterhin ein relevantes Thema. Neuartige Ansätze, bei denen die Gesichtserkennung lokal auf dem Gerät des Nutzers stattfindet und biometrische Daten das Gerät nie verlassen, versprechen eine verbesserte Privatsphäre gegenüber zentralisierten Lösungen. Dies könnte zukünftig einen wichtigen Fortschritt im Schutz sensibler Nutzerdaten darstellen.
4. Handlungsempfehlungen
Basierend auf den aktuellen Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:
- Priorität 1: Umgehende Patches einspielen:
- Für VMware Avi Load Balancer: Aktualisieren Sie auf die von VMware bereitgestellten Versionen (z.B. 31.2.2-2p3, 30.2.7, 32.1.2) zur Behebung der kritischen Authentifizierungsumgehungs- und RCE-Schwachstellen.
- Für @fastify/http-proxy: Aktualisieren Sie auf Version 11.6.0, um die Prefix Rewrite Bypass und WebSocket Pfad-Traversal Schwachstellen zu schließen.
- Für WordPress-Installationen: Spielen Sie umgehend alle verfügbaren Sicherheitsupdates ein, um die „wp2shell“ RCE-Lücke zu schließen. Überprüfen Sie Ihre Systeme auf Anzeichen einer Kompromittierung, da Exploits öffentlich verfügbar sind.
- Für 7-Zip: Aktualisieren Sie auf die neueste Version, um die kürzlich behobene RCE-Schwachstelle zu schließen, die über manipulierte Archive ausgenutzt werden kann.
- Für Google Chrome: Stellen Sie sicher, dass Ihr Browser stets auf dem neuesten Stand ist, insbesondere nach den außerplanmäßigen Sicherheitsupdates.
- Regelmäßiges Patch-Management: Halten Sie alle Systeme, Anwendungen und Bibliotheken (insbesondere für kritische Komponenten wie Proxy-Server und Datenbanken wie SurrealDB) konsequent aktuell. Automatisieren Sie, wo immer möglich, und testen Sie Updates vor der Produktivsetzung.
- Sichere Konfiguration: Überprüfen Sie die Konfiguration von SurrealDB, um sicherzustellen, dass Standardberechtigungen nicht auf „FULL“ gesetzt sind und die RPC API angemessen geschützt ist.
- Überwachung und Logging: Implementieren und überprüfen Sie robuste Überwachungs- und Logging-Systeme, um verdächtige Aktivitäten, insbesondere Anmeldeversuche und ungewöhnlichen Datenverkehr, frühzeitig zu erkennen.
- Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig im Erkennen von Phishing-Angriffen und anderen Social Engineering-Taktiken, um die Gefahr von Malware wie dem ACR Stealer zu minimieren.
- Notfallplanung: Halten Sie einen aktuellen Notfallplan für den Fall einer Sicherheitsverletzung bereit, um schnell und effektiv reagieren zu können.
Fazit
Der heutige Bericht unterstreicht einmal mehr die dynamische Natur der Cyberbedrohungslandschaft. Mit kritischen Schwachstellen in weit verbreiteten Anwendungen wie VMware Avi Load Balancer und WordPress sowie anhaltenden Malware-Kampagnen ist es unerlässlich, proaktive Sicherheitsmaßnahmen zu ergreifen. Ein kontinuierliches Patch-Management, erhöhte Wachsamkeit und die Sensibilisierung der Mitarbeiter bleiben die Eckpfeiler einer resilienten IT-Sicherheitsposition.
IT-Sicherheit strukturiert prüfen?
Twoblue unterstützt bei Security Checks, Microsoft 365, Intune und der strukturierten Bewertung technischer Risiken.




