Willkommen zum täglichen IT-Security-Lagebericht vom 17. Mai 2026. Der heutige Bericht beleuchtet aktuelle kritische Schwachstellen, anhaltende Zero-Day-Angriffe und relevante Entwicklungen in der Bedrohungslandschaft, die für Unternehmen und private Nutzer gleichermaßen von Bedeutung sind. Ein proaktives Vorgehen bei Patches und Konfigurationsprüfungen ist unerlässlich.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet kritische und hochrelevante Schwachstellen, die aktuell beachtet werden sollten:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (9.8) | CVE-2018-25320: ACL Analytics Arbitrary Code Execution | ACL Analytics Versionen 11.x bis 13.0.0.579 enthalten eine Arbitrary Code Execution Schwachstelle, die Angreifern die Ausführung beliebiger Befehle durch Ausnutzung der EXECUTE-Funktion ermöglicht. Angreifer können über Bitsadmin bösartige PowerShell-Skripte herunterladen und mit Systemberechtigungen ausführen, um Reverse Shells zu etablieren und vollständige Systemkontrolle zu erlangen. |
| CRITICAL (9.8) | CVE-2018-25332: GitBucket Unauthenticated Remote Code Execution | GitBucket 4.23.1 enthält eine unauthentifizierte Remote Code Execution Schwachstelle, die Angreifern die Ausführung beliebiger Befehle durch Ausnutzung schwacher Secret Token Generierung und unsicherer Datei-Upload-Funktionalität ermöglicht. Angreifer können den Blowfish-Verschlüsselungsschlüssel brute-forcen, ein bösartiges JAR-Plugin über den git-lfs-Endpunkt hochladen und Systembefehle über einen exponierten Exploit-Endpunkt ausführen. |
| CRITICAL (9.8) | CVE-2018-25335: WordPress Plugin Peugeot Music Arbitrary File Upload | Das WordPress Plugin Peugeot Music 1.0 enthält eine Arbitrary File Upload Schwachstelle, die unauthentifizierten Angreifern das Hochladen bösartiger Dateien durch Senden von POST-Anfragen an den upload.php-Endpunkt ermöglicht. Angreifer können Dateien mit beliebigen Erweiterungen hochladen, indem sie den ’name‘-Parameter manipulieren, um Code aus dem Upload-Verzeichnis auszuführen. |
| HIGH (8.8) | CVE-2026-8719: AI Engine WordPress Plugin Privilege Escalation | Das AI Engine – The Chatbot, AI Framework & MCP for WordPress Plugin für WordPress ist in Version 3.4.9 anfällig für Privilege Escalation. Dies liegt an der fehlenden Durchsetzung von WordPress-Berechtigungen im MCP OAuth Bearer-Token-Autorisierungspfad, wobei jedes gültige OAuth-Token MCP-Zugriff gewährt, ohne Administratorrechte zu überprüfen. Dies ermöglicht authentifizierten (Subscriber+) Angreifern, Admin-Level-MCP-Tools aufzurufen und Privilegien zum Administrator zu eskalieren. |
| HIGH (8.4) | CVE-2018-25322: Allok Fast AVI MPEG Splitter Buffer Overflow | Allok Fast AVI MPEG Splitter 1.2 enthält eine Stack-Based Buffer Overflow Schwachstelle, die lokalen Angreifern die Ausführung beliebigen Codes durch Bereitstellung eines bösartigen Lizenznamen-Strings ermöglicht. Angreifer können einen Payload mit 780 Bytes Junk-Daten, gefolgt von strukturiertem Shellcode, erstellen und im Feld „License Name“ platzieren, um den Overflow auszulösen und Code mit Anwendungsberechtigungen auszuführen. |
| HIGH (8.4) | CVE-2018-25323: Allok AVI DivX MPEG to DVD Converter Buffer Overflow | Allok AVI DivX MPEG to DVD Converter 2.6.1217 enthält eine Structured Exception Handler Buffer Overflow Schwachstelle, die lokalen Angreifern die Ausführung beliebigen Codes durch Bereitstellung eines bösartigen Payloads ermöglicht. Angreifer können eine Textdatei mit einem speziell gestalteten Buffer, der Shellcode und SEH-Kettenüberschreibungswerte enthält, erstellen und den Inhalt in das Feld „License Name“ einfügen, um die Codeausführung auszulösen. |
| HIGH (8.4) | CVE-2018-25328: VX Search Local Buffer Overflow | VX Search 10.6.18 enthält eine lokale Buffer Overflow Schwachstelle, die Angreifern das Überschreiben des Instruction Pointers durch Bereitstellung eines überdimensionierten Strings im Verzeichnisfeld ermöglicht. Angreifer können eine bösartige Eingabedatei erstellen, die 271 Bytes Junk-Daten, gefolgt von einer Rücksprungadresse, enthält, um beliebigen Code mit Anwendungsberechtigungen auszuführen. |
| HIGH (8.2) | CVE-2018-25330: Joomla! EkRishta XSS and SQL Injection | Die Joomla!-Erweiterung EkRishta 2.10 enthält persistente Cross-Site Scripting und SQL Injection Schwachstellen, die Angreifern die Injektion bösartigen Codes über Profilfelder und POST-Parameter ermöglichen. Angreifer können Skript-Payloads in Profilinformationsfeldern wie „Address“ injizieren, die beim Besuch des Profils durch Benutzer ausgeführt werden, oder SQL Injection Payloads über den phone_no-Parameter an den user_setting-Endpunkt senden, um Datenbankabfragen zu manipulieren. |
| HIGH (8.2) | CVE-2018-25333: Nordex N149/4.0-4.5 Wind Turbine SQL Injection | Der Nordex N149/4.0-4.5 Wind Turbine Web Server 4.0 enthält eine SQL Injection Schwachstelle, die unauthentifizierten Angreifern die Ausführung beliebiger SQL-Abfragen durch Injektion bösartigen Codes über den Login-Parameter in login.php ermöglicht. Angreifer können manipulierte POST-Anfragen mit SQL Injection Payloads im Login-Feld senden, um sensible Datenbankinformationen zu extrahieren und Authentifizierungsmechanismen zu umgehen. |
| HIGH (8.2) | CVE-2018-25338: Zechat SQL Injection (Hashtag Parameter) | Zechat 1.5 enthält eine SQL Injection Schwachstelle im Hashtag-Parameter, die unauthentifizierten Angreifern das Extrahieren von Datenbankinformationen mittels Union-Based-Techniken ermöglicht. Angreifer können den Hashtag-Parameter mit Union-Based Payloads ausnutzen, um Tabellen- und Spaltennamen abzurufen. |
| HIGH (8.2) | CVE-2018-25339: Zechat SQL Injection (v Parameter) | Zechat 1.5 enthält eine SQL Injection Schwachstelle im v-Parameter, die unauthentifizierten Angreifern das Extrahieren von Datenbankinformationen mittels Time-Based Blind-Techniken ermöglicht. Angreifer können den v-Parameter mit Sleep-Based Blind Injection ausnutzen, um die Schwachstelle zu bestätigen und Daten zu extrahieren. |
| HIGH (7.5) | CVE-2018-25325: Woocommerce CSV Importer Path Traversal | Woocommerce CSV Importer 3.3.6 enthält eine Path Traversal Schwachstelle, die jedem registrierten Benutzer das Löschen beliebiger Dateien durch Übermittlung unescaped Dateinamen über die delete_export_file AJAX-Aktion ermöglicht. Angreifer können POST-Anfragen mit Directory Traversal Sequenzen im Dateinamen-Parameter erstellen, um sensible Dateien wie wp-config.php außerhalb des beabsichtigten Exportverzeichnisses zu löschen. |
| HIGH (7.5) | CVE-2018-25326: Google Drive for WordPress Path Traversal | Google Drive for WordPress 2.2 enthält eine Path Traversal Schwachstelle, die unauthentifizierten Angreifern das Lesen beliebiger Dateien durch Injektion von Directory Traversal Sequenzen im file_name-Parameter ermöglicht. Angreifer können POST-Anfragen an gdrive-ajaxs.php senden, wobei der ajaxstype-Parameter auf del_fl_bkp und file_name auf Traversal-Sequenzen wie ../../wp-config.php gesetzt ist, um auf sensible Konfigurationsdateien zuzugreifen. |
| HIGH (7.5) | CVE-2018-25329: WordPress Plugin WP with Spritz Remote File Inclusion | Das WordPress Plugin WP with Spritz 1.0 enthält eine Remote File Inclusion Schwachstelle, die unauthentifizierten Angreifern das Lesen beliebiger Dateien durch Injektion von Dateipfaden in den url-Parameter ermöglicht. Angreifer können GET-Anfragen an wp.spritz.content.filter.php mit bösartigen url-Werten senden, um auf sensible Dateien wie Systemkonfiguration und Anmeldeinformationen zuzugreifen. |
| HIGH (7.3) | CVE-2026-8725: CoreWorxLab CAAL Server-Side Request Forgery (SSRF) | Eine Schwachstelle wurde in CoreWorxLab CAAL bis Version 1.6.0 identifiziert. Das betroffene Element ist eine unbekannte Funktion der Datei src/caal/webhooks.py des Komponenten-test-hass-Endpunkts. Diese Manipulation führt zu Server-Side Request Forgery (SSRF). Eine Remote-Ausnutzung des Angriffs ist möglich. Der Exploit wurde der Öffentlichkeit zugänglich gemacht und könnte für Angriffe genutzt werden. Der Hersteller wurde frühzeitig über diese Offenlegung kontaktiert, reagierte jedoch in keiner Weise. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Aktive Zero-Day-Angriffe auf Microsoft Exchange und Windows
Derzeit werden kritische Zero-Day-Schwachstellen in Microsoft Exchange aktiv ausgenutzt, um Systeme zu kompromittieren. Parallel dazu wurde ein neuer Windows „MiniPlasma“ Zero-Day-Exploit bekannt, der Angreifern SYSTEM-Rechte verschaffen kann und dessen Proof-of-Concept bereits öffentlich verfügbar ist. Diese Entwicklungen unterstreichen die dringende Notwendigkeit sofortiger Patches und strenger Überwachungsmechanismen auf betroffenen Systemen.
-
Tycoon2FA-Kampagne zur Kompromittierung von Microsoft 365-Konten
Eine neue, ausgeklügelte Phishing-Kampagne, bekannt als „Tycoon2FA“, zielt darauf ab, Microsoft 365-Konten zu übernehmen. Angreifer nutzen hierbei eine Device-Code-Phishing-Methode, um Multi-Faktor-Authentifizierung (MFA) zu umgehen und sich unbemerkt Zugang zu verschaffen. Organisationen sollten ihre Nutzer dringend für diese spezifische Art von Angriff sensibilisieren und starke Authentifizierungsverfahren überprüfen.
-
Schwachstellen in kritischer Unternehmenssoftware (F5 BIG-IP, Ivanti EPM, VMware)
Mehrere Quartals- und Ad-hoc-Sicherheitsupdates sind für weit verbreitete Unternehmenssoftware wie F5 BIG-IP, Ivanti EPM und VMware Fusion verfügbar. Diese Updates schließen eine Vielzahl von kritischen Lücken, darunter SQL-Injections, Rechteausweitungen und die Möglichkeit für Angreifer, Root-Rechte zu erlangen. Eine zügige Implementierung dieser Updates ist entscheidend, um die Angriffsfläche erheblich zu minimieren und die Systemintegrität zu gewährleisten.
3. Datenschutz & Kryptografie
Im heutigen Bericht gibt es keine besonderen Vorkommnisse oder neuen Entwicklungen im Bereich Datenschutz und Kryptografie, die explizit in den vorliegenden Quellen erwähnt werden.
4. Handlungsempfehlungen
Basierend auf der aktuellen Lage empfehlen wir dringend folgende Maßnahmen umzusetzen:
- Sofortiges Patchen von Microsoft Exchange und Windows-Systemen: Angesichts aktiver Zero-Day-Exploits sind dringende Patches und die Implementierung von Mitigationen für betroffene Microsoft Exchange-Server und Windows-Endpunkte unerlässlich.
- Aktualisierung kritischer Software: Überprüfen Sie Systeme, die F5 BIG-IP, Ivanti EPM, VMware Fusion, ACL Analytics oder GitBucket verwenden, und spielen Sie umgehend alle verfügbaren Sicherheitsupdates ein, um Rechteausweitungen, Remote Code Execution und andere Schwachstellen zu verhindern.
- WordPress-Sicherheit:
- Überprüfen und aktualisieren Sie alle WordPress-Plugins, insbesondere „Peugeot Music“, „AI Engine“, „Woocommerce CSV Importer“, „Google Drive for WordPress“ und „WP with Spritz“. Patches sind notwendig, um Arbitrary File Upload, Privilege Escalation, Path Traversal und Remote File Inclusion zu schließen.
- Sorgen Sie für strikte Berechtigungsprüfungen und robuste Dateiupload-Validierungen auf allen WordPress-Instanzen.
- Datenbank-Sicherheit: Für Systeme, die Joomla! EkRishta, Nordex Wind Turbine Web Server oder Zechat verwenden, sind umgehende Updates und die Implementierung robuster Eingabevalidierungen sowie der Einsatz von Web Application Firewalls (WAF) zur Abwehr von SQL-Injection-Angriffen kritisch.
- Schulung zur Phishing-Prävention: Informieren Sie Ihre Mitarbeiter über aktuelle Phishing-Methoden, insbesondere die „Tycoon2FA“-Kampagne. Stärken Sie das Bewusstsein für sichere Anmeldeverfahren und die Bedeutung der Multi-Faktor-Authentifizierung (MFA).
- SSRF-Schutz: Benutzer von CoreWorxLab CAAL sollten dringend auf die neueste Version aktualisieren und Konfigurationen bezüglich Webhooks überprüfen, um Server-Side Request Forgery zu verhindern.
- Allgemeine Sicherheitshygiene: Führen Sie regelmäßige Schwachstellen-Scans durch, härten Sie Ihre Systeme und stellen Sie sicher, dass Anti-Malware-Lösungen auf dem neuesten Stand sind und aktiv überwachen.
Fazit
Der heutige Lagebericht zeigt eine weiterhin dynamische und gefährliche Bedrohungslandschaft, geprägt von aktiven Zero-Day-Angriffen auf weit verbreitete Software und gezielten Phishing-Kampagnen. Die Notwendigkeit eines kontinuierlichen Patch-Managements, proaktiver Überwachung und umfassender Sicherheitsbewusstseinsschulungen kann nicht genug betont werden. Bleiben Sie wachsam und handeln Sie präventiv, um die digitale Sicherheit Ihrer Systeme zu gewährleisten.
