Täglicher IT-Security-Lagebericht – 27.05.2026

Täglicher IT-Security-Lagebericht – 27. Mai 2026

Einleitung

Der heutige Lagebericht hebt eine Reihe kritischer Schwachstellen hervor, die sowohl in Open-Source-Projekten als auch in gängigen Unternehmens- und WordPress-Anwendungen identifiziert wurden. Insbesondere die 5G-Kernnetzkomponente free5GC weist mehrere hochkritische Authentifizierungsfehler auf, die umgehende Patches erfordern. Parallel dazu werden aktive Angriffskampagnen gegen populäre Web-Anwendungen wie Roundcube und das LiteSpeed cPanel-Plugin beobachtet, was die Dringlichkeit proaktiver Sicherheitsmaßnahmen unterstreicht.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die kritischsten neu veröffentlichten oder aktualisierten Schwachstellen auf, die umgehend Beachtung finden sollten:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (10.0) CVE-2026-44327 / free5GC NEF OAM Auth Bypass Die NEF-Komponente des 5G-Kernnetzwerks free5GC mountet die nnef-oam Route-Group ohne erforderliche OAuth2/Bearer-Token-Autorisierung, wodurch Angreifer ohne Authentifizierung auf OAM-Operationen zugreifen können. Betrifft Versionen vor 4.2.2.
CRITICAL (10.0) CVE-2026-44329 / free5GC SMF UPI Auth Bypass Die SMF-Komponente von free5GC mountet die UPI-Management Route-Group ohne OAuth2/Bearer-Token-Autorisierung, was Angreifern den unauthentifizierten Zugriff auf UPI-Endpunkte für Lese-, Schreib- und Löschoperationen ermöglicht. Betrifft Versionen vor 4.2.2.
CRITICAL (10.0) CVE-2026-44330 / free5GC NEF PFD Management Auth Bypass Die NEF-Komponente von free5GC mountet die nnef-pfdmanagement Route-Group ohne erforderliche OAuth2/Bearer-Token-Autorisierung, was Angreifern mit gefälschten Tokens den Zugriff auf PFD-Anwendungsdaten und die Verwaltung von Benachrichtigungsabonnements ermöglicht. Betrifft Versionen vor 4.2.2.
CRITICAL (10.0) CVE-2026-45087 / Dalfox REST API RCE Der XSS-Scanner Dalfox (Versionen vor 2.13.0) erlaubt im REST API Server-Modus (Standardbindung 0.0.0.0:6664, ohne API-Key) die Ausführung beliebiger Shell-Befehle, wenn eine Scanausgabe ausgelöst wird, da die Optionen direkt aus Angreifer-JSON deserialisiert werden.
CRITICAL (9.9) CVE-2026-42748 / WPify Woo Czech – Web Shell Upload Eine Schwachstelle des Typs „Unrestricted Upload of File with Dangerous Type“ in WPify Woo Czech (Versionen <= 5.4.1) erlaubt das Hochladen einer Web-Shell auf den Server.
CRITICAL (9.9) CVE-2026-42756 / QuickWebP – Path Traversal Eine „Path Traversal“-Schwachstelle in QuickWebP (Versionen <= 3.2.7) ermöglicht unberechtigten Zugriff auf Dateien außerhalb des vorgesehenen Verzeichnisses.
CRITICAL (9.9) CVE-2026-46425 / Budibase SCIM Role Check Bypass In Budibase (Versionen vor 3.38.2) fehlt eine Rollenprüfung im SCIM-Router, wodurch jeder authentifizierte Benutzer (auch mit BASIC-Rolle) SCIM-Endpunkte aufrufen und alle Benutzer und Gruppen im Tenant verwalten kann.
CRITICAL (9.9) CVE-2026-45102 / OneUptime VM Escape OneUptime (Versionen vor 10.0.98) nutzt Node.js‘ vm-Modul zur Isolation, das jedoch über Fehlerobjekte und unendliche Rekursion umgangen werden kann, was zu einem Sandbox-Ausbruch führt.
CRITICAL (9.8) CVE-2026-8760 / WordPress Login with OTP – Auth Bypass Das WordPress-Plugin „Login with OTP“ (Versionen <= 1.6) ist anfällig für einen Authentifizierungs-Bypass aufgrund einer unvollständigen Behebung von CVE-2024-11178, was Brute-Force-Angriffe auf OTPs ermöglicht und zur vollständigen Site-Kompromittierung führen kann.
CRITICAL (9.8) CVE-2025-12686 / Synology BeeStation OS – RCE Eine „Buffer copy without checking size of input“-Schwachstelle im AdminCenter von Synology BeeStation OS (Versionen vor 1.3.2-65648) erlaubt entfernten Angreifern die Ausführung von beliebigem Code.
CRITICAL (9.8) CVE-2026-42731 / miniOrange OTP Verification – Privilege Escalation Das miniOrange OTP Verification Plugin (Versionen <= 5.4.9) ist anfällig für eine „Incorrect Privilege Assignment“-Schwachstelle, die eine Privilegieneskalation ermöglicht.
CRITICAL (9.8) CVE-2026-7524 / IBM Langflow OSS – RCE IBM Langflow OSS (Versionen 1.0.0 bis 1.9.1) ist anfällig für Remote Code Execution aufgrund unsachgemäßer Validierung symbolischer Links während der Archivextraktion.
CRITICAL (9.8) CVE-2026-8175 / IBM Aspera High-Speed Transfer – Buffer Overflow IBM Aspera High-Speed Transfer Endpoint und Server (spezifische Versionen zwischen 3.7.4 und 4.4.7 Fix Pack 1) sind von einem Pufferüberlauf in der asperahttpd-Komponente betroffen, der Denial of Service und potenziell Authentifizierungs-Bypass oder Remote Code Execution ermöglichen kann.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuellen Nachrichtenlage deutet auf mehrere aktive Bedrohungen und Angriffskampagnen hin:

  • Aktive Angriffe auf Roundcube-Webmail-Instanzen: Mehrere Roundcube-Webmail-Instanzen sind derzeit Ziel von Angriffen, die darauf abzielen, Schadcode einzuschleusen. Administratoren sollten ihre Systeme umgehend auf mögliche Kompromittierungen überprüfen und alle verfügbaren Patches einspielen.
  • Ausnutzung von LiteSpeed cPanel-Plugin-Schwachstellen: Es werden Angriffe auf Schwachstellen im LiteSpeed cPanel-Plugin beobachtet. Die CISA hat eine Warnung herausgegeben und Bundesbehörden eine kurze Frist zur Behebung der aktiv ausgenutzten Schwachstelle gesetzt, was die Dringlichkeit für alle Nutzer unterstreicht.
  • GPU Mining Malware über SEO Poisoning und KI-Chatbots: Eine neue Welle von GPU-Mining-Malware verbreitet sich aktiv über SEO-Poisoning-Techniken und manipuliert KI-Chatbots, um Nutzer auf bösartige Seiten zu locken. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei Suchergebnissen und Informationen aus KI-Diensten.
  • Physische Datendiebstahl-Angriffe durch Erpressergruppen: Das FBI warnt vor einer Erpressergruppe, die in persönlichen Datenentwendungsangriffen involviert ist. Dies deutet auf eine Eskalation der Taktiken von Cyberkriminellen hin, die physischen Zugang für Datendiebstahl und Erpressung nutzen.

3. Datenschutz & Kryptografie

Keine besonderen Vorkommnisse in Bezug auf neue gravierende Datenschutz-Verletzungen oder bahnbrechende Kryptografie-Schwachstellen, die über die oben genannten Angriffe hinausgehen, wurden in den heutigen Schlagzeilen gemeldet.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:

  • Priorisierte Patch-Installation:
    • Für free5GC-Implementierungen: Aktualisieren Sie umgehend auf Version 4.2.2 oder höher, um die kritischen Authentifizierungs-Bypässe in NEF- und SMF-Komponenten zu schließen (CVE-2026-44327, CVE-2026-44329, CVE-2026-44330).
    • Für Dalfox-Anwender im REST API Server-Modus: Aktualisieren Sie auf Version 2.13.0, um die RCE-Schwachstelle zu beheben (CVE-2026-45087). Vermeiden Sie bis zum Patch den Betrieb des Servers ohne API-Key und auf öffentlich zugänglichen Schnittstellen.
    • Für WordPress-Administratoren:
      • Aktualisieren Sie WPify Woo Czech auf Version > 5.4.1 (CVE-2026-42748).
      • Aktualisieren Sie QuickWebP auf Version > 3.2.7 (CVE-2026-42756).
      • Aktualisieren Sie WebinarIgnition auf Version >= 4.08.253 (CVE-2026-42757, CVE-2026-42758).
      • Aktualisieren Sie das Plugin „Login with OTP“ auf Version > 1.6 (CVE-2026-8760).
      • Aktualisieren Sie das miniOrange OTP Verification Plugin auf Version > 5.4.9 (CVE-2026-42731).
    • Für Budibase-Anwender: Aktualisieren Sie auf Version 3.38.2, um den SCIM-Rollenprüfungs-Bypass zu beheben (CVE-2026-46425).
    • Für OneUptime-Anwender: Aktualisieren Sie auf Version 10.0.98, um den VM-Escape zu schließen (CVE-2026-45102).
    • Für Synology BeeStation OS-Nutzer: Aktualisieren Sie auf Version 1.3.2-65648 oder höher (CVE-2025-12686).
    • Für IBM Langflow OSS-Nutzer: Aktualisieren Sie auf eine Version > 1.9.1 (CVE-2026-7524).
    • Für IBM Aspera High-Speed Transfer-Nutzer: Installieren Sie die entsprechenden Fix Packs, die das Pufferüberlaufproblem beheben (CVE-2026-8175).
    • Aktualisieren Sie 7-Zip, Docker Model Runner (insbesondere unter macOS), UniFi OS Server und Roundcube-Webmail-Instanzen auf die neuesten verfügbaren Versionen, um bekannte Schwachstellen zu schließen.
    • Für LiteSpeed cPanel-Plugin-Nutzer: Patchen Sie umgehend alle Instanzen, da Angriffe aktiv beobachtet werden.
  • Sensibilisierung und Training: Informieren Sie Ihre Mitarbeiter über die Gefahren von SEO Poisoning und die Risiken, die von manipulierten Informationen aus KI-Chatbots ausgehen, insbesondere im Hinblick auf den Download unbekannter Software.
  • Stärkung der Zugriffsverwaltung: Überprüfen Sie regelmäßig Berechtigungen und Zugriffssteuerungen, insbesondere in Low-Code-Plattformen wie Budibase und bei der Verwaltung von Benutzerkonten. Implementieren Sie Mehrfaktorauthentifizierung, wo immer möglich.
  • Physische Sicherheitsmaßnahmen: Angesichts der Warnung des FBI vor physischen Datendiebstahl-Angriffen, überprüfen und stärken Sie die physische Zugangskontrolle zu sensiblen Bereichen und Geräten.
  • Regelmäßige Backups und Notfallpläne: Sorgen Sie für aktuelle und getestete Backups Ihrer Systeme und Daten und halten Sie einen detaillierten Notfallplan für den Fall einer Kompromittierung bereit.

Fazit

Der heutige Lagebericht zeigt eine besorgniserregende Anzahl kritischer Schwachstellen in weit verbreiteter Software und die Fortsetzung aggressiver Angriffskampagnen. Die Notwendigkeit zur sofortigen Anwendung von Patches, insbesondere für 5G-Kernnetzkomponenten, diverse WordPress-Plugins und Web-Anwendungen, ist immens. Darüber hinaus sind erhöhte Wachsamkeit gegenüber Social Engineering, SEO Poisoning und physischen Bedrohungen sowie die kontinuierliche Schulung der Mitarbeiter unerlässlich, um die Resilienz der IT-Infrastrukturen zu gewährleisten.

Trending

Täglicher IT-Security-Lagebericht – 27.05.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux