Täglicher IT-Security-Lagebericht – 08.04.2026

Täglicher IT-Security-Lagebericht – 08. April 2026

Sehr geehrte Leserschaft,

der heutige Lagebericht für den 08. April 2026 hebt eine Reihe kritischer Schwachstellen hervor, die umgehende Aufmerksamkeit erfordern. Insbesondere betreffen diese diverse WordPress-Plugins sowie KI-basierte Systeme. Darüber hinaus werden aktuelle Angriffskampagnen auf Low-Coding-Tools und das aktive Ausnutzen einer älteren ActiveMQ-Schwachstelle beleuchtet. Es ist von höchster Bedeutung, die empfohlenen Maßnahmen zeitnah umzusetzen, um die IT-Sicherheit zu gewährleisten.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die wichtigsten kritischen und hochriskanten Schwachstellen auf, die aktuell bekannt sind:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (9.9) CVE-2026-39888: PraisonAI Sandbox Escape Schwachstelle in PraisonAI (bis 1.5.115) ermöglicht Sandbox-Escape und Ausführung beliebigen Codes durch Umgehung der Blockliste in der Subprozess-Sandbox.
CRITICAL (9.8) CVE-2026-3296: Everest Forms (WordPress) PHP Object Injection Unauthentifizierte PHP Object Injection in Everest Forms (WordPress-Plugin, bis 3.4.3) aufgrund unsicherer Deserialisierung von Formulareingabemetadaten.
CRITICAL (9.8) CVE-2026-4003: Users manager – PN (WordPress) Privilege Escalation Privilegieneskalation über willkürliche Benutzer-Meta-Aktualisierung in Users manager – PN (WordPress-Plugin, bis 1.1.15) aufgrund fehlerhafter Autorisierungslogik.
CRITICAL (9.8) CVE-2026-3535: DSGVO Google Web Fonts GDPR (WordPress) Arbitrary File Upload Unauthentifizierter Arbitrary File Upload im DSGVO Google Web Fonts GDPR (WordPress-Plugin, bis 1.1) durch fehlende Dateitypvalidierung, führt zu RCE.
CRITICAL (9.8) CVE-2026-25776: Movable Type Code Injection Code Injection in Movable Type ermöglicht Angreifern die Ausführung beliebiger Perl-Skripte.
CRITICAL (9.8) CVE-2026-2942: ProSolution WP Client (WordPress) Arbitrary File Upload Unauthentifizierter Arbitrary File Upload in ProSolution WP Client (WordPress-Plugin, bis 1.9.9) durch fehlende Dateitypvalidierung, führt zu RCE.
CRITICAL (9.8) CVE-2026-39890: PraisonAI RCE via Malicious YAML Remote Code Execution (RCE) in PraisonAI (bis 4.5.115) durch unsichere YAML-Parsing-Funktion, die die Ausführung beliebigen JavaScript-Codes ermöglicht.
CRITICAL (9.3) CVE-2026-1346: IBM Verify Identity Access Privilege Escalation Lokale Privilegieneskalation auf Root-Rechte in IBM Verify Identity Access und IBM Security Verify Access Containern (verschiedene Versionen) aufgrund unnötiger Privilegienausführung.
CRITICAL (9.1) CVE-2026-40035: Unfurl Flask Debug Mode Activation Unfurl (bis 2025.08) enthält eine Schwachstelle bei der Konfigurationsanalyse, die den Flask-Debug-Modus standardmäßig aktiviert, was zur Offenlegung sensibler Informationen oder RCE führen kann.
CRITICAL (9.0) CVE-2026-39860: Nix Arbitrary File Overwrite Fehler in Nix Package Manager (verschiedene Versionen) ermöglicht das Überschreiben beliebiger Dateien durch Verfolgen von Symlinks während der Ausgabe-Registrierung in sandboxed Linux-Builds, was zu Root-Privilegien führen kann.
HIGH (8.8) CVE-2026-3357: IBM Langflow Desktop Arbitrary Code Execution Authentifizierte Ausführung von Arbitrary Code in IBM Langflow Desktop (1.6.0 bis 1.8.2) aufgrund unsicherer Standardeinstellung für Deserialisierung in der FAISS-Komponente.
HIGH (8.8) CVE-2026-3499: Product Feed PRO for WooCommerce (WordPress) CSRF Cross-Site Request Forgery (CSRF) in Product Feed PRO for WooCommerce (WordPress-Plugin, 13.4.6 bis 13.5.2.1) durch fehlende oder falsche Nonce-Validierung bei mehreren AJAX-Funktionen.
HIGH (8.8) CVE-2026-24913: MATCHA INVOICE SQL Injection SQL Injection in MATCHA INVOICE (bis 2.6.6) ermöglicht angemeldeten Benutzern den Zugriff oder die Änderung von Datenbankinformationen.
HIGH (8.8) CVE-2026-3243: Advanced Members for ACF (WordPress) Arbitrary File Deletion Arbitrary File Deletion in Advanced Members for ACF (WordPress-Plugin, bis 1.2.5) aufgrund unzureichender Dateipfadvalidierung, was zu RCE führen kann.
HIGH (8.8) CVE-2026-39891: PraisonAI Template Injection Template Injection in PraisonAI (bis 4.5.115) ermöglicht Ausführung von Template-Ausdrücken aus Benutzereingaben in Agent-zentrierten Tools.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuelle Bedrohungslandschaft ist weiterhin von gezielten Angriffen und der Ausnutzung kritischer Schwachstellen geprägt:

  • Angriffe auf Low-Coding-Tools: Es werden verstärkt Attacken auf Low-Coding-Tools wie Flowise beobachtet. Diese Plattformen, die eine schnelle Anwendungsentwicklung ermöglichen, sind ein attraktives Ziel für Angreifer, da eine Kompromittierung weitreichende Auswirkungen auf die darüber entwickelten Anwendungen haben kann. Unternehmen, die solche Tools einsetzen, müssen höchste Priorität auf das schnelle Einspielen von Updates und umfassende Sicherheitsprüfungen legen.
  • Neue Windows Zero-Day-Lücke „BlueHammer“: Eine neu entdeckte Zero-Day-Lücke in Windows, mit dem Codenamen „BlueHammer“, ermöglicht Angreifern eine Erhöhung ihrer Privilegien. Diese Art von Schwachstellen ist besonders kritisch, da sie vor der öffentlichen Bekanntmachung und der Verfügbarkeit von Patches ausgenutzt werden können. Windows-Administratoren sollten die Veröffentlichung eines entsprechenden Patches genau verfolgen und sofort implementieren.
  • Ausnutzung alter Schwachstellen: Ein dreizehn Jahre alter Bug in ActiveMQ ermöglicht immer noch die Remote-Code-Ausführung (RCE) durch Angreifer. Dies unterstreicht die Notwendigkeit eines umfassenden Patch-Managements und der regelmäßigen Überprüfung auch älterer Systeme und Softwarekomponenten. Angreifer suchen gezielt nach vergessenen oder nicht gepatchten Installationen, um Zugang zu Netzwerken zu erhalten.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz und Kryptografie gibt es keine direkt auf Datenschutzbestimmungen oder kryptografische Durchbrüche bezogene Meldung in den bereitgestellten Headlines.

Allerdings wurde bekannt, dass das Schlüsselspeichersystem von Android für Attacken anfällig ist. Dies hat direkte Auswirkungen auf die Sicherheit von Daten, die auf Android-Geräten gespeichert sind, und die Integrität von kryptografischen Operationen, die auf diesen Schlüsseln basieren. Google hat hierfür Patches bereitgestellt, die dringend installiert werden sollten, um die Sicherheit sensibler Informationen und digitaler Identitäten zu gewährleisten.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungsinformationen empfehlen wir dringend folgende Maßnahmen:

  • Umfassendes Patch-Management:
    • Für alle PraisonAI-Installationen: Aktualisieren Sie auf Version 1.5.115 (CVE-2026-39888) und 4.5.115 (CVE-2026-39890, CVE-2026-39891).
    • Für WordPress-Installationen: Patchen Sie umgehend die betroffenen Plugins:
      • Everest Forms auf Version 3.4.4 oder höher (CVE-2026-3296).
      • Users manager – PN auf Version 1.1.16 oder höher (CVE-2026-4003).
      • DSGVO Google Web Fonts GDPR auf Version 1.2 oder höher (CVE-2026-3535).
      • ProSolution WP Client auf Version 2.0.0 oder höher (CVE-2026-2942).
      • Product Feed PRO for WooCommerce auf Version 13.5.3 oder höher (CVE-2026-3499).
      • Advanced Members for ACF auf Version 1.2.6 oder höher (CVE-2026-3243).
    • Aktualisieren Sie Movable Type umgehend, um CVE-2026-25776 zu beheben.
    • Führen Sie Updates für IBM Verify Identity Access Container und IBM Security Verify Access Container (CVE-2026-1346) sowie IBM Langflow Desktop (CVE-2026-3357) durch.
    • Patchen Sie Nix Package Manager auf Versionen 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 oder 2.28.6 (CVE-2026-39860).
    • Aktualisieren Sie Unfurl auf Version 2025.09 oder höher, um CVE-2026-40035 zu beheben.
    • Für MATCHA INVOICE, aktualisieren Sie auf Version 2.6.7 oder höher (CVE-2026-24913).
    • Überprüfen Sie alle Instanzen von ActiveMQ und stellen Sie sicher, dass sie gepatcht sind, um die bekannte RCE-Schwachstelle zu schließen.
    • Halten Sie Windows-Betriebssysteme und Android-Geräte durch regelmäßige Patchdays und Sicherheitsupdates auf dem neuesten Stand, insbesondere im Hinblick auf die „BlueHammer“-Zero-Day-Lücke und das anfällige Schlüsselspeichersystem.
    • Sichern Sie die Weboberflächen von Geräten wie WatchGuard Firebox durch aktuelle Firmware und geeignete Zugriffskontrollen.
    • Installieren Sie Patches für Ivanti EPMM umgehend, wie von CISA angeordnet, wenn Sie betroffene Systeme einsetzen.
  • Sicherheitsbewusstsein: Schulen Sie Ihre Mitarbeiter regelmäßig im Erkennen von Phishing-Angriffen und der Bedeutung sicherer Passwörter, insbesondere im Hinblick auf Angriffe wie den Diebstahl von Zendesk-Support-Tickets.
  • Überwachung und Logging: Implementieren und überwachen Sie umfassende Logging-Mechanismen, um verdächtige Aktivitäten frühzeitig zu erkennen.
  • Minimierung von Berechtigungen: Stellen Sie sicher, dass Dienste und Benutzer nur die minimal notwendigen Berechtigungen besitzen (Least Privilege Principle).

Fazit

Der heutige Lagebericht zeigt erneut die Vielschichtigkeit der Bedrohungen und die Notwendigkeit eines proaktiven und umfassenden Sicherheitsansatzes. Die hohe Anzahl kritischer Schwachstellen, insbesondere in weit verbreiteten Systemen wie WordPress-Plugins und KI-Plattformen, erfordert eine sofortige Reaktion. Durch konsequentes Patchen, die Implementierung starker Sicherheitsmaßnahmen und kontinuierliches Monitoring können Sie die Resilienz Ihrer IT-Infrastruktur erheblich steigern und potenziellen Angreifern entgegenwirken.

Trending

Täglicher IT-Security-Lagebericht – 10.04.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux