Täglicher IT-Security-Lagebericht – 25.04.2026

Sehr geehrte Leserinnen und Leser,

Willkommen zum täglichen IT-Security-Lagebericht vom 25. April 2026. Dieser Bericht bietet Ihnen einen schnellen Überblick über die neuesten kritischen Schwachstellen, aktuelle Bedrohungsanalysen und wichtige Handlungsempfehlungen, um Ihre Systeme sicher zu halten.

1. Aktuelle CVEs und Schwachstellen

Die folgenden kritischen und hochpriorisierten Schwachstellen erfordern besondere Aufmerksamkeit:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (9.8) CVE-2026-6951 (simple-git RCE) Remote Code Execution (RCE) in simple-git Paketen vor 3.36.0 durch unvollständigen Patch. Angreifer können über speziell präparierte Eingaben RCE erreichen.
HIGH (8.8) CVE-2026-6988 (Tenda HG10 Buffer Overflow) Pufferüberlauf in Tenda HG10 Router-Firmware (formRoute Funktion im Boa Service). Fernausführbarer Exploit verfügbar.
HIGH (7.3) CVE-2026-6977 (vanna-ai Improper Authorization) Unzureichende Autorisierung in vanna-ai (Legacy Flask API). Fernausführbarer Exploit öffentlich.
HIGH (7.3) CVE-2026-6980 (GitPilot-MCP Command Injection) Command Injection in Divyanshu-hash GitPilot-MCP (repo_path Funktion). Fernausführbarer Exploit öffentlich.
HIGH (7.3) CVE-2026-6987 (PicoClaw Command Injection) Command Injection in PicoClaw (Web Launcher Management Plane) über den Endpunkt /api/gateway/restart. Fernausführbarer Angriff möglich.
HIGH (7.3) CVE-2026-7002 (KLiK SocialMediaWebsite SQL Injection) SQL Injection in KLiK SocialMediaWebsite (Private Message Handler) über den Parameter c_id. Fernausführbarer Angriff möglich.
HIGH (7.2) CVE-2026-6992 (Linksys MR9600 OS Command Injection) OS Command Injection in Linksys MR9600 Router-Firmware (JNAP Action Handler) über den Parameter pin. Fernausführbarer Exploit öffentlich.
MEDIUM (6.3) CVE-2026-6979 (WAHA SSRF) Server-Side Request Forgery (SSRF) in devlikeapro WAHA (API Request Handler). Fernausführbarer Exploit verfügbar.
MEDIUM (6.3) CVE-2026-6981 (AiraHub2 SSRF) Server-Side Request Forgery (SSRF) in IhateCreatingUserNames2 AiraHub2 (Endpoint). Fernausführbarer Exploit öffentlich.
MEDIUM (6.3) CVE-2026-6982 (ShowDoc SQL Injection) SQL Injection in star7th ShowDoc (API Page Sort Endpoint) über den Parameter pages. Update auf 3.8.1 empfohlen.
MEDIUM (6.3) CVE-2026-6989 (Tenda F453 Command Injection) Command Injection in Tenda F453 Router-Firmware (Telnet Service). Fernausführbarer Exploit öffentlich.
MEDIUM (6.3) CVE-2026-6991 (Zod SQL Injection) SQL Injection in colinhacks Zod (CUID Data Type Handler). Fernausführbarer Exploit öffentlich.
MEDIUM (6.3) CVE-2026-6994 (Envoy Injection) Injection-Schwachstelle in Envoy (Query Parameter Handler). Patch f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4 verfügbar.
MEDIUM (5.3) CVE-2026-6985 (Cesanta Mongoose Infinite Loop) Infinite Loop in Cesanta Mongoose (TCP Option Handler) über den Parameter optlen. Update auf 7.21 empfohlen.
MEDIUM (5.3) CVE-2026-6993 (kratos Unintended Intermediary) Unbeabsichtigter Intermediär in go-kratos kratos (http.DefaultServeMux Fallback Handler). Patch 0284a5bcf92b5a7ee015300ce3051baf7ae4718d verfügbar.

2. Bedrohungsanalysen und Angriffskampagnen

  • Supply-Chain-Angriff auf Bitwarden CLI

    Der Kommandozeilen-Client des beliebten Passwortmanagers Bitwarden wurde trojanisiert, was auf eine gezielte Supply-Chain-Attacke hindeutet. Benutzer, die den CLI-Client heruntergeladen oder aktualisiert haben, könnten kompromittiert sein. Dies unterstreicht die Notwendigkeit, Software-Lieferketten genau zu überwachen und Downloads aus vertrauenswürdigen Quellen zu verifizieren.

  • „Snow“ Malware-Verteilung über Microsoft Teams

    Ein Bedrohungsakteur nutzt Microsoft Teams, um eine neue Malware namens „Snow“ zu verbreiten. Dies zeigt eine anhaltende Tendenz von Angreifern, legitime Geschäftsanwendungen für Phishing und Malware-Verteilung zu missbrauchen. Wachsamkeit bei unerwarteten Nachrichten und Links, selbst innerhalb bekannter Kollaborationstools, ist unerlässlich.

  • ADT bestätigt Datenleck nach ShinyHunters Drohung

    ADT, ein Anbieter von Sicherheitslösungen, hat ein Datenleck bestätigt, nachdem die berüchtigte Cybercrime-Gruppe ShinyHunters mit der Veröffentlichung von Daten gedroht hatte. Dieser Vorfall ist ein weiteres Beispiel für die anhaltende Gefahr durch Ransomware- und Extortion-Gruppen, die Daten exfiltrieren, um Unternehmen zur Zahlung zu zwingen.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz ist das bestätigte Datenleck bei ADT hervorzuheben. Dies dient als Erinnerung an die kritische Bedeutung robuster Datensicherheitsmaßnahmen und schneller Reaktionsstrategien bei Sicherheitsvorfällen, um die Auswirkungen auf personenbezogene Daten zu minimieren und regulatorische Anforderungen zu erfüllen.

4. Handlungsempfehlungen

Basierend auf den aktuellen Bedrohungen und Schwachstellen empfehlen wir die folgenden Maßnahmen:

  • Priorisierte Patch-Verwaltung: Installieren Sie umgehend Updates für Software wie simple-git (auf Version 3.36.0 oder höher), ShowDoc (auf 3.8.1), Cesanta Mongoose (auf 7.21) und go-kratos kratos (Patch 0284a5bcf92b5a7ee015300ce3051baf7ae4718d) sowie Envoy (Patch f8f4f1e02fdc64ecd4acf2d903208dd7285ad3a4). Priorisieren Sie Patches für kritische RCE- und Command-Injection-Schwachstellen.
  • Firmware-Updates für Hardware: Überprüfen Sie Router und Netzwerkgeräte (z.B. Tenda HG10, Tenda F453, Linksys MR9600) auf verfügbare Firmware-Updates, um bekannte Schwachstellen wie Pufferüberläufe und Command Injections zu schließen.
  • Sichere Software-Downloads: Stellen Sie sicher, dass Software, insbesondere Kommandozeilen-Clients wie Bitwarden CLI, ausschließlich von offiziellen und verifizierten Quellen heruntergeladen wird. Überprüfen Sie bei Möglichkeit die Integrität der Downloads mittels Hashes.
  • Sensibilisierung und Training: Schulen Sie Ihre Mitarbeiter bezüglich Phishing- und Social Engineering-Taktiken, insbesondere im Umgang mit Nachrichten über Kollaborationstools wie Microsoft Teams, um die Verbreitung von Malware zu verhindern.
  • Strikte Eingabevalidierung: Entwickler sollten stets eine strikte Eingabevalidierung implementieren, um Risiken wie Command Injections und SQL Injections (z.B. bei GitPilot-MCP, PicoClaw, KLiK, Zod) zu minimieren.
  • Überprüfung auf SSRF-Schwachstellen: Seien Sie wachsam hinsichtlich Server-Side Request Forgery (SSRF)-Schwachstellen und stellen Sie sicher, dass Ihre APIs und Endpunkte (z.B. in WAHA, AiraHub2) korrekt konfiguriert sind, um diese Art von Angriffen zu verhindern.

Fazit

Der heutige Lagebericht zeigt einmal mehr die dynamische Natur der Bedrohungslandschaft. Von kritischen Software-Schwachstellen, die Remote Code Execution ermöglichen, bis hin zu gezielten Angriffen auf gängige Tools und Plattformen, ist proaktives Handeln unerlässlich. Eine kontinuierliche Überwachung, schnelle Patch-Verwaltung und die Sensibilisierung der Mitarbeiter bleiben die Eckpfeiler einer effektiven IT-Sicherheit. Bleiben Sie wachsam und schützen Sie Ihre digitalen Assets.

Trending

Täglicher IT-Security-Lagebericht – 25.04.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux