Herzlich willkommen zum täglichen IT-Security-Lagebericht für den 23. Februar 2026. Dieser Bericht fasst die wichtigsten Entwicklungen und kritischen Schwachstellen zusammen, die für heute relevant sind, um Ihnen eine schnelle Orientierung im aktuellen Bedrohungsbild zu ermöglichen. Die Bedrohungslandschaft bleibt dynamisch, mit einer Reihe kritischer Schwachstellen, die dringendes Handeln erfordern, sowie anhaltenden Angriffskampagnen.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die wichtigsten neuen und aktualisierten Schwachstellen auf, die eine sofortige Beachtung erfordern:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-23693: ElementsKit Lite WordPress Plugin – Unauthentifizierter REST-Endpunkt | Das WordPress-Plugin ElementsKit Lite (Versionen < 3.7.9) macht einen REST-Endpunkt ohne Authentifizierung zugänglich. Ein unauthentifizierter Angreifer kann diesen als offenen Proxy zu Mailchimp missbrauchen, um API-Aufrufe zu manipulieren oder Abonnementdaten zu beeinflussen. |
| CRITICAL (9.8) | CVE-2026-24494: Order Up Online Ordering System – SQL Injection | SQL-Injection-Schwachstelle im Endpunkt /api/integrations/getintegrations des Order Up Online Ordering System 1.0. Ein unauthentifizierter Angreifer kann sensible Backend-Datenbankdaten über einen manipulierten store_id-Parameter abrufen. |
| CRITICAL (9.1) | CVE-2026-2588: Crypt::NaCl::Sodium – Integer Overflow (32-Bit-Systeme) | Integer-Overflow-Schwachstelle in Crypt::NaCl::Sodium-Versionen bis 2.001 für Perl auf 32-Bit-Systemen, verursacht durch fehlerhaftes Casting von STRLEN zu unsigned long long. |
| CRITICAL (9.1) | CVE-2026-23552: Apache Camel Keycloak – Cross-Realm Token Acceptance Bypass | Die KeycloakSecurityPolicy-Komponente von Apache Camel (Versionen 4.15.0 bis 4.17.x) validiert den iss (Issuer)-Claim von JWT-Tokens nicht korrekt, was eine Umgehung der Mandantentrennung ermöglicht. |
| CRITICAL (9.1) | CVE-2025-70043: Ayms node-To master – Unsachgemäße Zertifikatsvalidierung | Ein Problem mit unsachgemäßer Zertifikatsvalidierung (CWE-295) wurde in Ayms node-To master entdeckt, da die Anwendung die TLS/SSL-Zertifikatsvalidierung deaktiviert. |
| HIGH (8.8) | CVE-2026-2958: D-Link DWR-M960 – Stack-based Buffer Overflows | Mehrere Stack-based Buffer Overflows in der D-Link DWR-M960 (Version 1.01.07), z.B. in /boafrm/formWsc. Fernausführbare Angriffe sind möglich. Exploit ist öffentlich bekannt. |
| HIGH (8.8) | CVE-2026-2959: D-Link DWR-M960 – Stack-based Buffer Overflows | Stack-based Buffer Overflow in D-Link DWR-M960 (Version 1.01.07) in der Funktion sub_44E0F8 von /boafrm/formNewSchedule durch Manipulation des url-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-2960: D-Link DWR-M960 – Stack-based Buffer Overflows | Stack-based Buffer Overflow in D-Link DWR-M960 (Version 1.01.07) in sub_468D64 von /boafrm/formDhcpv6s durch Manipulation des submit-url-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-2961: D-Link DWR-M960 – Stack-based Buffer Overflows | Stack-based Buffer Overflow in D-Link DWR-M960 (Version 1.01.07) in sub_4196C4 von /boafrm/formVpnConfigSetup durch Manipulation des submit-url-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-2962: D-Link DWR-M960 – Stack-based Buffer Overflows | Stack-based Buffer Overflow in D-Link DWR-M960 (Version 1.01.07) in sub_460F30 von /boafrm/formDateReboot durch Manipulation des submit-url-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-2981: UTT HiPER 810G – Buffer Overflow | Buffer Overflow in UTT HiPER 810G (bis 1.7.7-1711) in der Funktion strcpy von /goform/formTaskEdit_ap durch Manipulation des txtMin2-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-3015: UTT HiPER 810G – Buffer Overflow | Buffer Overflow in UTT HiPER 810G (bis 1.7.7-171114) in der Funktion strcpy von /goform/formPolicyRouteConf durch Manipulation des GroupName-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.8) | CVE-2026-3016: UTT HiPER 810G – Buffer Overflow | Buffer Overflow in UTT HiPER 810G (bis 1.7.7-171114) in der Funktion strcpy von /goform/formP2PLimitConfig durch Manipulation des except-Arguments. Fernausführung möglich, Exploit öffentlich. |
| HIGH (8.7) | CVE-2026-25648: Traccar – Stored XSS via SVG Upload | In Traccar (ab Version 6.11.1) können authentifizierte Benutzer arbiträres JavaScript durch Hochladen bösartiger SVG-Dateien als Gerätebilder ausführen, da keine Bereinigung erfolgt. |
| HIGH (8.5) | CVE-2025-67733: Valkey – Scripting Command Injection | In Valkey (vor 9.0.2, 8.1.6, 8.0.7, 7.2.12) kann ein bösartiger Benutzer Scripting-Befehle nutzen, um beliebige Informationen in den Antwortstream zu injizieren und Daten zu manipulieren. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Aktive Ausnutzung von Schwachstellen in Webmail und Enterprise Mobility Management
Aktuell sehen wir eine erhöhte Aktivität bei der Ausnutzung bekannter Schwachstellen. Angriffe auf Roundcube Webmail-Installationen sind im Gange, was die Notwendigkeit unterstreicht, E-Mail-Infrastrukturen umgehend auf dem neuesten Stand zu halten und zu überwachen. Parallel dazu warnt das BSI weiterhin vor dem verbreiteten Missbrauch einer kritischen Lücke in Ivanti EPMM (Endpoint Policy Management). Organisationen, die diese Produkte einsetzen, sollten höchste Priorität auf das Einspielen verfügbarer Patches und die Überprüfung auf Kompromittierungen legen.
-
Schwachstellen in weit verbreiteter Software
Neben den gezielten Kampagnen gibt es weiterhin Berichte über eine Vielzahl von Sicherheitslücken in populärer Software. Dazu gehören aktuelle Sicherheitspatches für GIMP, Dell PowerProtect Data Manager sowie Atlassian Bamboo und Confluence. Dies unterstreicht die Notwendigkeit eines kontinuierlichen Patchmanagements über alle eingesetzten Systeme und Anwendungen hinweg, um die Angriffsfläche zu minimieren.
-
Sicherheitsmängel in Android-Apps und Datenpannen durch Social Engineering
Ein Bericht hebt hervor, dass Android-Apps im Bereich psychischer Gesundheit mit Millionen von Installationen erhebliche Sicherheitsmängel aufweisen, was ein Risiko für sensible Nutzerdaten darstellt. Des Weiteren bestätigt das Ad-Tech-Unternehmen Optimizely eine Datenpanne, die durch einen Vishing-Angriff (Voice Phishing) verursacht wurde. Dies zeigt die anhaltende Bedrohung durch Social Engineering und die Notwendigkeit starker Authentifizierungsmechanismen und Mitarbeiterschulungen.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz wurde bekannt, dass das Ad-Tech-Unternehmen Optimizely eine Datenpanne erlitten hat, die auf einen Vishing-Angriff zurückzuführen ist. Dies unterstreicht die Relevanz der Absicherung von Identitäten und Zugriffsrechten sowie die Sensibilisierung der Mitarbeiter gegenüber Social-Engineering-Angriffen, um sensible Daten vor unbefugtem Zugriff zu schützen. Kryptografie-spezifische Vorfälle von breiter Relevanz sind heute keine besonderen Vorkommnisse.
4. Handlungsempfehlungen
Angesichts der aktuellen Bedrohungen empfehlen wir folgende Maßnahmen:
- Umfassendes Patch-Management: Priorisieren Sie das Einspielen von Sicherheitsupdates für alle Systeme und Anwendungen. Dies betrifft insbesondere:
- WordPress-Installationen: Aktualisieren Sie das Plugin ElementsKit Lite umgehend auf Version 3.7.9 oder höher.
- Order Up Online Ordering System: Patches für die SQL-Injection-Schwachstelle einspielen und strikte Eingabeprüfungen implementieren.
- Apache Camel Keycloak: Führen Sie ein Upgrade auf Version 4.18.0 durch, um die korrekte Token-Validierung sicherzustellen.
- Ayms node-To master: Stellen Sie sicher, dass die TLS/SSL-Zertifikatsvalidierung (
'rejectUnauthorized': true) aktiv ist. - D-Link DWR-M960 und UTT HiPER 810G Router/Firewalls: Suchen Sie nach den neuesten Firmware-Updates und spielen Sie diese unverzüglich ein, da für diese Geräte öffentlich bekannte Exploits existieren.
- Traccar: Sofern Version 6.11.1 oder höher verwendet wird, prüfen Sie auf verfügbare Patches für die SVG-Upload-Schwachstelle und implementieren Sie serverseitige Sanitization für hochgeladene Dateien.
- Valkey: Aktualisieren Sie Ihre Installation auf Version 9.0.2, 8.1.6, 8.0.7 oder 7.2.12, um die Scripting Command Injection zu beheben.
- Webmail-Dienste (insbesondere Roundcube): Patches für bekannte Sicherheitslücken sofort anwenden und Systeme auf ungewöhnliche Aktivitäten überwachen.
- Ivanti EPMM: Folgen Sie den BSI-Empfehlungen, spielen Sie verfügbare Patches ein und überprüfen Sie Ihre Systeme auf Kompromittierungen.
- GIMP, Dell PowerProtect Data Manager, Atlassian Bamboo und Confluence: Alle veröffentlichten Sicherheitsupdates zeitnah installieren.
- Sicherheit der Endgeräte und Anwendungen:
- Nutzer von Android-Geräten sollten bei der Installation von Apps aus dem Bereich Gesundheit und Wohlbefinden vorsichtig sein und nur vertrauenswürdige Quellen nutzen. Entwickler sind angehalten, ihre Apps einer umfassenden Sicherheitsprüfung zu unterziehen.
- Mitarbeitersensibilisierung und -schulung:
- Stärken Sie die Schulungen Ihrer Mitarbeiter zur Erkennung von Phishing- und Vishing-Angriffen, um Social-Engineering-basierte Datenpannen zu verhindern.
- Überprüfen Sie regelmäßig die Stärke Ihrer Authentifizierungsmechanismen und Zugriffsrechte.
Fazit
Der heutige Tag unterstreicht einmal mehr die Notwendigkeit einer proaktiven und umfassenden IT-Sicherheitsstrategie. Mit kritischen Schwachstellen in weit verbreiteten Systemen wie WordPress-Plugins, Webmail-Lösungen und Routern sowie aktiven Angriffskampagnen ist es unerlässlich, kontinuierlich Patches einzuspielen, Systeme zu überwachen und Mitarbeiter für die Erkennung von Social-Engineering-Angriffen zu sensibilisieren. Bleiben Sie wachsam und handeln Sie präventiv, um Ihre IT-Infrastruktur effektiv zu schützen.
