Willkommen zum täglichen IT-Security-Lagebericht vom 06. Februar 2026. Der heutige Bericht beleuchtet eine Reihe kritischer Schwachstellen, insbesondere in JavaScript-Sandboxing-Bibliotheken und Webanwendungen. Darüber hinaus fassen wir aktuelle Bedrohungsanalysen zusammen, die von gezielten Angriffen bis hin zu kritischen Lücken in Infrastruktur-Komponenten reichen. Eine hohe Anzahl kritischer CVEs erfordert umgehende Aufmerksamkeit und Handlung.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die kritischsten und hoch priorisierten Schwachstellen auf, die aktuell bekannt sind:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-25520: SandboxJS Sandbox Escape | Schwachstelle in SandboxJS (bis 0.8.29) erlaubt Angreifern, über die Rückgabewerte von Funktionen und Array.prototype.at den Host-Function-Konstruktor zu erhalten und beliebigen Code außerhalb der Sandbox auszuführen. |
| CRITICAL (10.0) | CVE-2026-25586: SandboxJS Prototype Pollution | Schwachstelle in SandboxJS (bis 0.8.29) ermöglicht einen Sandbox-Escape durch Überschreiben von hasOwnProperty, was die Durchsetzung der Prototypen-Whitelist deaktiviert und direkten Zugriff auf __proto__ erlaubt. |
| CRITICAL (10.0) | CVE-2026-25587: SandboxJS Map.prototype.has Escape | Schwachstelle in SandboxJS (bis 0.8.29) ermöglicht einen Sandbox-Escape durch Überschreiben von Map.prototype.has, da Map in SAFE_PROTOYPES enthalten ist. |
| CRITICAL (10.0) | CVE-2026-25641: SandboxJS Key Mismatch Escape | Schwachstelle in SandboxJS (bis 0.8.29) durch Diskrepanz zwischen Validierungs- und Zugriffs-Keys, die es Angreifern erlaubt, bösartige Objekte zu übergeben, die zu verschiedenen String-Werten koercieren. |
| CRITICAL (10.0) | CVE-2026-25632: EPyT-Flow OS Command Execution | EPyT-Flow (bis 0.16.1) REST API parst Angreifer-kontrollierte JSON-Anfragen mit einem benutzerdefinierten Deserializer, der die dynamische Instanziierung von Modulen/Klassen erlaubt, was zu OS-Befehlsausführung führen kann. |
| CRITICAL (9.9) | CVE-2026-25592: Semantic Kernel Arbitrary File Write | Schwachstelle in Microsoft’s Semantic Kernel .NET SDK (bis 1.70.0) im SessionsPythonPlugin ermöglicht das Schreiben beliebiger Dateien. |
| CRITICAL (9.8) | CVE-2026-1499: WP Duplicate Arbitrary File Upload / RCE | Fehlende Autorisierung und Path Traversal im WordPress-Plugin WP Duplicate (bis 1.1.8) erlaubt authentifizierten (Abonnenten-Level) Angreifern das Hochladen beliebiger Dateien und Fernausführung von Code. |
| CRITICAL (9.8) | CVE-2026-21643: Fortinet FortiClientEMS SQL Injection | SQL-Injection-Schwachstelle in Fortinet FortiClientEMS 7.4.4 ermöglicht einem nicht-authentifizierten Angreifer die Ausführung von Code oder Befehlen über speziell geformte HTTP-Anfragen. |
| CRITICAL (9.8) | CVE-2026-2017: IP-COM W30AP Buffer Overflow | Stack-basierter Buffer Overflow in IP-COM W30AP (bis 1.0.0.11(1340)) in der Funktion R7WebsSecurityHandler durch Manipulation des „data“-Arguments, mit öffentlichem Exploit. |
| CRITICAL (9.8) | CVE-2026-25544: Payload CMS Blind SQL Injection | Blind SQL Injection in Payload CMS (bis 3.73.0) bei JSON- oder RichText-Abfragen ermöglicht unauthentifizierten Angreifern das Extrahieren sensibler Daten und vollständige Kontoübernahme. |
| CRITICAL (9.8) | CVE-2026-25803: 3DP-MANAGER Default Credentials | Die Anwendung 3DP-MANAGER (bis 2.0.1) erstellt bei der ersten Initialisierung automatisch ein Administratorkonto mit bekannten Standardanmeldeinformationen (admin/admin). |
| CRITICAL (9.4) | CVE-2026-1709: Keylime TLS Authentication Bypass | Keylime Registrar (seit 7.12.0) erzwingt keine clientseitige TLS-Authentifizierung, was unauthentifizierten Clients administrative Operationen erlaubt. |
| CRITICAL (9.1) | CVE-2026-25643: Frigate RCE via go2rtc Integration | Kritische Remote Code Execution (RCE) in Frigate (bis 0.16.4) über die go2rtc-Integration durch unsanitisierte Benutzereingaben in der Videostream-Konfiguration (config.yaml). |
| HIGH (8.8) | CVE-2025-15566: ingress-nginx Configuration Injection / RCE | Sicherheitsproblem in ingress-nginx, bei dem die Annotation nginx.ingress.kubernetes.io/auth-proxy-set-headers zur Konfigurationsinjektion und beliebiger Codeausführung führen kann. |
| HIGH (8.8) | CVE-2026-2066: UTT 进取 520W Buffer Overflow | Buffer Overflow in UTT 进取 520W 1.7.7-180627 in der Funktion strcpy des Files /goform/formIpGroupConfig, aus der Ferne ausnutzbar. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Kritische Infrastruktur im Visier: F5 BIG-IP und Cisco Meeting Management
Aktuelle Meldungen warnen vor schwerwiegenden Sicherheitslücken in weit verbreiteten Infrastrukturkomponenten. Für F5 BIG-IP wurden Sicherheitsupdates veröffentlicht, die es Angreifern ermöglichen könnten, den Datenverkehr lahmzulegen oder die Systeme zu kompromittieren. Eine weitere Root-Sicherheitslücke bedroht Cisco Meeting Management, was unautorisierten Zugriff und weitreichende Kompromittierung ermöglicht. Diese Vorfälle unterstreichen die Notwendigkeit, kritische Systeme umgehend zu patchen und intensiv zu überwachen.
-
TeamViewer-Lücke ermöglicht unautorisierte Zugriffe
Eine Schwachstelle in TeamViewer, einem beliebten Tool für Fernwartung und -zugriff, erlaubt Berichten zufolge Zugriffe ohne die übliche vorherige Bestätigung. Dies stellt ein erhebliches Risiko für Organisationen und Einzelpersonen dar, die TeamViewer nutzen, da es unautorisierten Akteuren potenziell ermöglicht, die Kontrolle über Systeme zu übernehmen. Dringende Updates und eine Überprüfung der Konfigurationen sind hier geboten, um solche Angriffe zu verhindern.
-
Aktive Bedrohungen: DKnife Linux Toolkit und SmarterMail RCE in Ransomware-Angriffen
Das „DKnife Linux toolkit“ wird derzeit eingesetzt, um Router-Verkehr zu kapern, Spionage zu betreiben und Malware zu verteilen, was eine ernsthafte Gefahr für Netzwerkgeräte darstellt. Parallel dazu warnt CISA vor einer RCE-Schwachstelle in SmarterMail, die aktiv in Ransomware-Angriffen ausgenutzt wird. Dies zeigt die anhaltende Bedrohungslandschaft durch hochentwickelte Toolkits und die schnelle Ausnutzung bekannter Schwachstellen für Ransomware-Zwecke. Organisationen sollten ihre Router-Sicherheit und E-Mail-Server umgehend prüfen.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz und Kryptografie gibt es eine bemerkenswerte Warnung aus Deutschland: Hochrangige Persönlichkeiten werden gezielt durch Signal-Konto-Hijacking-Versuche angegriffen. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit, insbesondere bei der Nutzung verschlüsselter Kommunikationsdienste, und die Wichtigkeit der Aktivierung von Zwei-Faktor-Authentifizierung (2FA) sowie der Erkennung von Phishing-Versuchen, die auf die Übernahme von Kommunikationskonten abzielen könnten. Benutzer sollten stets die Authentizität von Anfragen zur Kontoüberprüfung kritisch hinterfragen.
4. Handlungsempfehlungen
Basierend auf den identifizierten Schwachstellen und aktuellen Bedrohungsanalysen empfehlen wir folgende Maßnahmen:
- Systematische Patch-Verwaltung: Priorisieren Sie das sofortige Einspielen von Sicherheitsupdates für kritische Software. Dies betrifft insbesondere:
- SandboxJS: Aktualisieren Sie auf Version 0.8.29, um alle kritischen Sandbox-Escape-Schwachstellen zu beheben.
- EPyT-Flow: Aktualisieren Sie auf Version 0.16.1, um die RCE-Schwachstelle im REST API-Deserializer zu schließen.
- Microsoft Semantic Kernel: Aktualisieren Sie das .NET SDK auf Version 1.70.0 oder implementieren Sie einen Function Invocation Filter für Dateivorgänge.
- WordPress WP Duplicate Plugin: Aktualisieren Sie auf eine Version größer 1.1.8 oder entfernen Sie das Plugin umgehend, um File Upload und RCE zu verhindern.
- Fortinet FortiClientEMS: Beheben Sie die SQL-Injection-Schwachstelle in Version 7.4.4 durch das entsprechende Update.
- Payload CMS: Aktualisieren Sie auf Version 3.73.0, um die Blind SQL Injection zu schließen.
- 3DP-MANAGER: Stellen Sie sicher, dass keine Standardanmeldeinformationen (admin/admin) verwendet werden, und aktualisieren Sie auf Version 2.0.2.
- Keylime: Stellen Sie sicher, dass die clientseitige TLS-Authentifizierung für den Registrar erzwungen wird.
- Frigate: Aktualisieren Sie auf Version 0.16.4 und überprüfen Sie die Konfiguration (config.yaml) auf unsanitisierte Benutzereingaben, insbesondere in der go2rtc-Integration. Beschränken Sie den Administratorzugriff.
- F5 BIG-IP, Cisco Meeting Management, TeamViewer, SmarterMail: Prüfen und installieren Sie alle verfügbaren Sicherheitsupdates umgehend.
- Netzwerkgeräte-Sicherheit: Überprüfen Sie die Konfiguration und Sicherheit Ihrer Router und Netzwerkgeräte, um Angriffe wie das „DKnife Linux toolkit“ zu verhindern. Stellen Sie sicher, dass sie gehärtet und auf dem neuesten Stand sind und dass unnötige Dienste deaktiviert sind.
- Starke Authentifizierung: Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) überall dort, wo es möglich ist, insbesondere für administrative Zugänge und Kommunikationsdienste wie Signal, um Konten vor Hijacking zu schützen.
- Sensibilisierung und Training: Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Phishing-Angriffe und Social Engineering, die auf die Kompromittierung von Anmeldeinformationen und Konten abzielen. Eine kritische Haltung gegenüber unerwarteten Anfragen ist entscheidend.
- Zugriffsmanagement: Überprüfen und minimieren Sie Berechtigungen (Least Privilege Principle), insbesondere für kritische Systeme und Benutzerkonten, um die potenzielle Angriffsfläche zu reduzieren.
Fazit
Der heutige Lagebericht zeigt einmal mehr die dynamische Bedrohungslandschaft, in der Softwareentwickler und Betreiber von IT-Infrastrukturen kontinuierlich mit neuen Schwachstellen und Angriffsmethoden konfrontiert sind. Eine proaktive und disziplinierte Patch-Strategie, kombiniert mit robuster Authentifizierung, umfassender Benutzeraufklärung und strengem Zugriffsmanagement, bleibt unerlässlich, um die digitale Sicherheit zu gewährleisten und potenzielle Schäden zu minimieren. Bleiben Sie wachsam und handeln Sie proaktiv.
