Sehr geehrte Leserinnen und Leser,
herzlich willkommen zu Ihrem täglichen IT-Security-Lagebericht für den 27. Februar 2026. Dieser Bericht bietet Ihnen einen kompakten Überblick über die kritischsten Sicherheitsbedrohungen, neue Schwachstellen und relevante Entwicklungen in der IT-Sicherheitslandschaft, um Ihre Systeme und Daten bestmöglich zu schützen.
1. Aktuelle CVEs und Schwachstellen
Die heutige Lage ist geprägt von einer Reihe kritischer Schwachstellen, die dringendes Handeln erfordern. Besonders auffällig sind mehrere Fälle von Authentifizierungs-Bypasses und Remote Code Execution (RCE) in verschiedenen Anwendungen und Geräten.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-21718 (Copeland XWEB Pro) | An authentication bypass vulnerability exists in Copeland XWEB Pro version 1.12.1 and prior, enabling any attackers to bypass the authentication requirement and achieve pre-authenticated code execution on the system. |
| CRITICAL (10.0) | CVE-2026-28409 (WeGIA) | WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, a critical Remote Code Execution (RCE) vulnerability exists in the WeGIA application’s database restoration functionality. An attacker with administrative access (which can be obtained via the previously reported Authentication Bypass) can execute arbitrary OS commands on the server by uploading a backup file with a specifically crafted filename. Version 3.6.5 fixes the issue. |
| CRITICAL (9.9) | CVE-2026-28363 (OpenClaw) | In OpenClaw before 2026.2.23, tools.exec.safeBins validation for sort could be bypassed via GNU long-option abbreviations (such as –compress-prog) in allowlist mode, leading to approval-free execution paths that were intended to require approval. Only an exact string such as –compress-program was denied. |
| CRITICAL (9.9) | CVE-2026-2749 (Centreon Open Tickets) | Vulnerability in Centreon Centreon Open Tickets on Central Server on Linux (Centroen Open Ticket modules).This issue affects Centreon Open Tickets on Central Server: from all before 25.10.3, 24.10.8, 24.04.7. |
| CRITICAL (9.8) | CVE-2026-3301 (Totolink N300RH) | A security flaw has been discovered in Totolink N300RH 6.1c.1353_B20190305. Affected by this vulnerability is the function setWebWlanIdx of the file /cgi-bin/cstecgi.cgi of the component Web Management Interface. Performing a manipulation of the argument webWlanIdx results in os command injection. The attack can be initiated remotely. The exploit has been released to the public and may be used for attacks. |
| CRITICAL (9.8) | CVE-2025-12981 (WordPress Listee Theme) | The Listee theme for WordPress is vulnerable to privilege escalation in all versions up to, and including, 1.1.6. This is due to a broken validation check in the bundled listee-core plugin’s user registration function that fails to properly sanitize the user_role parameter. This makes it possible for unauthenticated attackers to register as Administrator by manipulating the user_role parameter during registration. |
| CRITICAL (9.8) | CVE-2026-2251 (Xerox FreeFlow Core) | Improper limitation of a pathname to a restricted directory (Path Traversal) vulnerability in Xerox FreeFlow Core allows unauthorized path traversal leading to RCE. This issue affects Xerox FreeFlow Core versions up to and including 8.0.7. Please consider upgrading to FreeFlow Core version 8.1.0 via the software available on – https://www.support.xerox.com/en-us/product/core/downloads |
| CRITICAL (9.8) | CVE-2025-11251 (Dayneks E-Commerce Platform) | Improper Neutralization of Special Elements used in an SQL Command (‚SQL Injection‘) vulnerability in Dayneks Software Industry and Trade Inc. E-Commerce Platform allows SQL Injection.This issue affects E-Commerce Platform: through 27022026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
| CRITICAL (9.8) | CVE-2026-24352 (PluXml CMS) | PluXml CMS allows a user’s session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behaviour enables an attacker to fix a session ID for a victim and later hijack the authenticated session. The vendor was notified early about this vulnerability, but didn’t respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable. |
| CRITICAL (9.8) | CVE-2025-11252 (Signum Windesk.Fm) | Improper Neutralization of Special Elements used in an SQL Command (‚SQL Injection‘) vulnerability in Signum Technology Promotion and Training Inc. Windesk.Fm allows SQL Injection.This issue affects windesk.Fm: through 27022026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
| CRITICAL (9.8) | CVE-2026-27751 (SODOLA SL902-SWTGW124AS) | SODOLA SL902-SWTGW124AS firmware versions through 200.1.20 contain a default credentials vulnerability that allows remote attackers to obtain administrative access to the management interface. Attackers can authenticate using the hardcoded default credentials without password change enforcement to gain full administrative control of the device. |
| CRITICAL (9.8) | CVE-2026-27755 (SODOLA SL902-SWTGW124AS) | SODOLA SL902-SWTGW124AS firmware versions through 200.1.20 contain a weak session identifier generation vulnerability that allows attackers to forge authenticated sessions by computing predictable MD5-based cookies. Attackers who know or guess valid credentials can calculate the session identifier offline and bypass authentication without completing the login flow, gaining unauthorized access to the device. |
| CRITICAL (9.8) | CVE-2026-28268 (Vikunja) | Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue. |
| CRITICAL (9.8) | CVE-2026-28408 (WeGIA) | WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, the script in adicionar_tipo_docs_atendido.php does not go through the project’s central controller and does not have its own authentication and permission checks. A malicious user could make a request through tools like Postman or the file’s URL on the web to access features exclusive to employees. The vulnerability allows external parties to inject unauthorized data in massive quantities into the application server’s storage. Version 3.6.5 fixes the issue. |
| CRITICAL (9.8) | CVE-2026-28411 (WeGIA) | WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, an unsafe use of the `extract()` function on the `$_REQUEST` superglobal allows an unauthenticated attacker to overwrite local variables in multiple PHP scripts. This vulnerability can be leveraged to completely bypass authentication checks, allowing unauthorized access to administrative and protected areas of the WeGIA application. Version 3.6.5 fixes the issue. |
2. Bedrohungsanalysen und Angriffskampagnen
Die Bedrohungslandschaft zeigt weiterhin eine hohe Aktivität von Cyberkriminellen und APT-Gruppen. Besondere Aufmerksamkeit verdienen folgende Entwicklungen:
- Langanhaltende Cisco-Exploitation: Berichte zeigen, dass Angreifer seit drei Jahren aktiv eine Sicherheitslücke in Cisco-Produkten ausnutzen, um in Netzwerke einzudringen. Dies unterstreicht die Notwendigkeit, ältere Schwachstellen nicht aus den Augen zu verlieren und Patches zeitnah einzuspielen.
- APT37 und Angriffe auf Air-Gapped Netzwerke: Die Hackergruppe APT37 setzt neue Malware ein, um selbst luftdicht abgeschirmte Netzwerke (air-gapped networks) zu kompromittieren. Dies weist auf eine zunehmende Raffinesse bei der Überwindung von Hochsicherheitsumgebungen hin und erfordert verstärkte Vorsichtsmaßnahmen bei der Datenübertragung.
- CISA-Warnung zu RESURGE Malware auf Ivanti-Geräten: Die CISA warnt davor, dass die RESURGE-Malware auf Ivanti-Geräten ruhend (dormant) verbleiben kann. Unternehmen, die Ivanti-Produkte einsetzen, sollten proaktiv nach Anzeichen dieser Malware suchen und entsprechende Bereinigungsmaßnahmen einleiten, auch wenn auf den ersten Blick keine akute Infektion ersichtlich ist.
3. Datenschutz & Kryptografie
In den letzten 24 Stunden gab es keine besonderen Vorkommnisse oder neuen Entwicklungen im Bereich Datenschutz und Kryptografie, die über die allgemeinen Sicherheitsempfehlungen hinausgehen.
4. Handlungsempfehlungen
Auf Basis der identifizierten Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:
- Dringende Patch-Verwaltung: Priorisieren Sie das Einspielen von Patches für alle Anwendungen und Geräte, die von den oben genannten kritischen CVEs betroffen sind. Dies betrifft insbesondere:
- Copeland XWEB Pro (CVE-2026-21718): Beheben Sie die Authentifizierungs-Bypass-Schwachstelle umgehend.
- WeGIA (CVE-2026-28409, CVE-2026-28408, CVE-2026-28411): Aktualisieren Sie auf Version 3.6.5, um mehrere kritische RCE- und Authentifizierungs-Bypass-Schwachstellen zu schließen.
- OpenClaw (CVE-2026-28363): Aktualisieren Sie auf Version 2026.2.23 oder höher.
- Centreon Open Tickets (CVE-2026-2749): Aktualisieren Sie auf die gepatchten Versionen (z.B. 25.10.3, 24.10.8 oder 24.04.7).
- Totolink N300RH (CVE-2026-3301): Patchen Sie die OS Command Injection in der Web Management Interface.
- WordPress Listee Theme (CVE-2025-12981): Aktualisieren Sie das Theme auf eine sichere Version (höher als 1.1.6), um die Privilege Escalation zu verhindern.
- Xerox FreeFlow Core (CVE-2026-2251): Führen Sie ein Upgrade auf Version 8.1.0 durch, um die Path Traversal zu RCE zu beheben.
- Dayneks E-Commerce Platform (CVE-2025-11251) und Signum Windesk.Fm (CVE-2025-11252): Prüfen Sie auf verfügbare Patches oder Workarounds für die SQL-Injection-Schwachstellen.
- PluXml CMS (CVE-2026-24352): Beheben Sie die Session Fixation, idealerweise durch ein Update auf eine Version, die dies korrigiert.
- SODOLA SL902-SWTGW124AS (CVE-2026-27751, CVE-2026-27755): Aktualisieren Sie die Firmware, um Standard-Anmeldeinformationen und schwache Session-IDs zu beheben.
- Vikunja (CVE-2026-28268): Aktualisieren Sie auf Version 2.1.0, um die Schwachstelle bei der Passwort-Reset-Token-Wiederverwendung zu beheben.
- Software-Updates für weitere Produkte: Halten Sie auch andere im Bericht erwähnte Software wie IBM App Connect Enterprise, Junos OS Evolved, n8n und diverse VMware-Produkte auf dem neuesten Stand.
- Monitoring und Incident Response: Verstärken Sie das Monitoring Ihrer Netzwerke und Endpunkte, insbesondere in Bezug auf potenzielle Kompromittierungen durch bekannte Angriffsmuster (z.B. die Ivanti RESURGE Malware). Stellen Sie sicher, dass Ihre Incident-Response-Pläne aktuell und einsatzbereit sind.
- Sensibilisierung: Informieren Sie Ihre Mitarbeiter über aktuelle Phishing-Gefahren und die Wichtigkeit sicherer Passwörter, insbesondere im Kontext von Passwort-Reset-Mechanismen.
Fazit
Der 27. Februar 2026 unterstreicht einmal mehr die Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen, insbesondere in Webanwendungen und IoT-Geräten, sowie die anhaltende Aktivität fortgeschrittener Angreifer erfordern höchste Wachsamkeit. Regelmäßiges Patchen, sorgfältiges Monitoring und die Sensibilisierung der Nutzer sind unerlässlich, um die Integrität und Sicherheit Ihrer IT-Infrastruktur zu gewährleisten. Bleiben Sie wachsam und treffen Sie die notwendigen Schutzmaßnahmen.
Ihr IT-Security-Analyst-Team
