Täglicher IT-Security-Lagebericht vom 19. Februar 2026
Sehr geehrte Leserinnen und Leser,
willkommen zu unserem täglichen IT-Security-Lagebericht. Heute beleuchten wir eine Reihe kritischer Schwachstellen, akute Bedrohungslandschaften und geben Ihnen konkrete Handlungsempfehlungen, um Ihre Systeme und Daten zu schützen. Die Bedrohungslandschaft bleibt dynamisch, mit besonderem Fokus auf die Ausnutzung bekannter Schwachstellen und den aufkommenden Missbrauch von KI-Technologien durch Angreifer.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle listet die kritischsten Schwachstellen auf, die aktuell Aufmerksamkeit erfordern. Ein signifikanter Anteil betrifft WordPress-Plugins mit Privilegienausweitung und Remote Code Execution (RCE) Möglichkeiten.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2025-12107: Vulnerable Velocity template engine | Aufgrund der Verwendung einer anfälligen Drittanbieter-Velocity-Template-Engine kann ein Angreifer mit Administratorrechten beliebige Template-Syntax in serverseitige Templates injizieren und ausführen, was zu Remote Code Execution (RCE) führen kann. |
| CRITICAL (9.9) | CVE-2026-26030: Microsoft Semantic Kernel Python SDK RCE | Eine Remote Code Execution (RCE)-Schwachstelle in Microsofts Semantic Kernel Python SDK (Versionen vor 1.39.4), insbesondere in der `InMemoryVectorStore`-Filterfunktionalität, wurde behoben. |
| CRITICAL (9.8) | CVE-2025-12882: WordPress Clasifico Listing Plugin Privilege Escalation | Das WordPress Clasifico Listing Plugin (bis einschl. 2.0) ist anfällig für Privilegienausweitung, da neue Benutzer bei der Registrierung ihre eigene Rolle über den Parameter ‚listing_user_role‘ festlegen können, was unauthentifizierten Angreifern Administratorrechte ermöglicht. |
| CRITICAL (9.8) | CVE-2025-13563: WordPress Lizza LMS Pro Plugin Privilege Escalation | Das WordPress Lizza LMS Pro Plugin (bis einschl. 1.0.3) weist eine Schwachstelle zur Privilegienausweitung auf, da die Funktion ‚lizza_lms_pro_register_user_front_end‘ die Registrierung mit beliebigen Benutzerrollen, einschließlich „Administrator“, nicht einschränkt. |
| CRITICAL (9.8) | CVE-2025-13851: WordPress Buyent Classified Plugin Privilege Escalation | Das WordPress Buyent Classified Plugin (bis einschl. 1.0.7) ist anfällig für Privilegienausweitung durch Benutzerregistrierung über den REST API-Endpunkt, da es die Benutzerrolle nicht validiert oder einschränkt. |
| CRITICAL (9.8) | CVE-2025-71243: SPIP ‚Saisies pour formulaire‘ Plugin RCE | Das ‚Saisies pour formulaire‘ (Saisies) Plugin für SPIP-Versionen 5.4.0 bis 5.11.0 enthält eine kritische Remote Code Execution (RCE)-Schwachstelle, die es Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. |
| CRITICAL (9.8) | CVE-2025-8350: Inrove BiEticaret CMS Authentication Bypass | Schwachstelle vom Typ Execution After Redirect (EAR) und fehlende Authentifizierung für kritische Funktionen im Inrove Software and Internet Services BiEticaret CMS (Versionen 2.1.13 bis 19022026) ermöglicht Authentifizierungs-Bypass und HTTP Response Splitting. |
| CRITICAL (9.8) | CVE-2025-9953: Databank Accreditation Software SQL Injection | Eine Schwachstelle zur Umgehung der Autorisierung durch benutzergesteuerte SQL Primary Keys in der DATABASE Software Training Consulting Ltd. Databank Accreditation Software (bis einschl. 19022026) ermöglicht SQL-Injection. |
| CRITICAL (9.8) | CVE-2026-0926: WordPress Prodigy Commerce Plugin LFI | Das WordPress Prodigy Commerce Plugin (bis einschl. 3.2.9) ist anfällig für Local File Inclusion (LFI) über den Parameter ‚parameters[template_name]‘, was das Lesen oder Ausführen beliebiger Dateien auf dem Server ermöglicht. |
| CRITICAL (9.8) | CVE-2026-1405: WordPress Slider Future Plugin Arbitrary File Upload | Das WordPress Slider Future Plugin (bis einschl. 1.0.5) ist anfällig für willkürliche Datei-Uploads aufgrund fehlender Dateitypvalidierung in der Funktion ’slider_future_handle_image_upload‘, was unauthentifizierten Angreifern Remote Code Execution ermöglichen kann. |
| CRITICAL (9.8) | CVE-2026-1994: WordPress s2Member Plugin Privilege Escalation (Account Takeover) | Das WordPress s2Member Plugin (bis einschl. 260127) ist anfällig für Privilegienausweitung durch Kontoübernahme, da es die Identität eines Benutzers vor der Passwortaktualisierung nicht ordnungsgemäß validiert. |
| CRITICAL (9.8) | CVE-2026-23542: ThemeGoods Grand Restaurant Deserialization of Untrusted Data | Eine Deserialization of Untrusted Data-Schwachstelle in ThemeGoods Grand Restaurant (bis einschl. 7.0.10) führt zu Object Injection. |
| CRITICAL (9.8) | CVE-2026-23549: magepeopleteam WpEvently Deserialization of Untrusted Data | Eine Deserialization of Untrusted Data-Schwachstelle in magepeopleteam WpEvently (bis einschl. 5.1.1) führt zu Object Injection. |
| CRITICAL (9.8) | CVE-2026-25242: Gogs Unauthenticated File Upload | Gogs (Open Source self-hosted Git service) Versionen 0.13.4 und darunter setzen standardmäßig unauthentifizierte Datei-Upload-Endpunkte frei, was den Missbrauch als öffentlichen Dateihoster ermöglicht. |
| CRITICAL (9.8) | CVE-2026-2686: SECCN Dingcheng G10 OS Command Injection | Eine Sicherheitslücke in SECCN Dingcheng G10 3.1.0.181203 betrifft die Funktion ‚qq‘ der Datei /cgi-bin/session_login.cgi und führt durch Manipulation des Arguments ‚User‘ zu einer OS Command Injection, die aus der Ferne ausnutzbar ist. |
2. Bedrohungsanalysen und Angriffskampagnen
- Aktive Ausnutzung kritischer Schwachstellen: Mehrere Berichte deuten auf eine fortgesetzte Kampagne zur Ausnutzung bekannter und kritischer Schwachstellen hin. Insbesondere wird vor aktiven Angriffen auf Dell RecoverPoint for Virtual Machines gewarnt, wobei die CISA die sofortige Behebung innerhalb von drei Tagen angeordnet hat. Auch eine kritische Rechteausweitungslücke im Microsoft Windows Admin Center sowie Codeschmuggel-Lücken in Notepad++ und Schwachstellen in Chrome, Zimbra, ThreatSonar und ActiveX-Modulen sind Gegenstand von Angriffen. Dies unterstreicht die Notwendigkeit einer proaktiven und schnellen Patch-Verwaltung.
- KI als Waffe und Ziel: Der Missbrauch von Künstlicher Intelligenz rückt zunehmend in den Fokus. Nvidia KI-Tools wie Megatron Bridge und NeMo Framework wurden als potenzielle Einfallstore für Angreifer identifiziert. Parallel dazu wurde „PromptSpy“ entdeckt, die erste bekannte Android-Malware, die generative KI zur Laufzeit nutzt. Dies zeigt, dass Angreifer KI nicht nur als Ziel, sondern auch als Werkzeug in ihren Kampagnen einsetzen, um die Effizienz und Tarnung ihrer Angriffe zu verbessern.
3. Datenschutz & Kryptografie
- Lauschangriffe durch VoIP-Schwachstellen: Eine Schwachstelle in Grandstream VoIP-Telefonen ermöglicht unbemerktes Abhören, was direkte Auswirkungen auf die Vertraulichkeit von Kommunikation und den Datenschutz hat. Unternehmen, die solche Geräte einsetzen, müssen diese umgehend überprüfen und absichern.
- Identitätsdiebstahl durch Infostealer: Infostealer entwickeln sich weiter, um gestohlene Anmeldeinformationen in vollwertige Identitäten umzuwandeln. Dies stellt ein erhebliches Risiko für den Datenschutz dar, da persönliche Daten missbraucht werden können, um sich als Opfer auszugeben und weiteren Schaden anzurichten.
4. Handlungsempfehlungen
- Priorisieren Sie Patches: Beheben Sie umgehend die in Abschnitt 2 genannten kritischen Schwachstellen, insbesondere für Dell RecoverPoint for Virtual Machines, Microsoft Windows Admin Center und Notepad++. Patchen Sie ebenfalls die in der CVE-Tabelle gelisteten Produkte und WordPress-Plugins. Achten Sie auf Updates für den Microsoft Semantic Kernel Python SDK (Version 1.39.4 oder höher), das SPIP ‚Saisies pour formulaire‘ Plugin (Version 5.11.1 oder höher) und Gogs (Version 0.14.1 oder höher).
- Sichern Sie WordPress-Installationen: Überprüfen Sie alle verwendeten WordPress-Plugins auf die in der CVE-Tabelle genannten Schwachstellen (Clasifico Listing, Lizza LMS Pro, Buyent Classified, Prodigy Commerce, Slider Future, s2Member). Stellen Sie sicher, dass keine Nutzer die Möglichkeit haben, ihre eigene Rolle bei der Registrierung zu bestimmen. Aktualisieren Sie betroffene Plugins umgehend oder entfernen Sie diese, falls keine Patches verfügbar sind.
- KI-Sicherheit proaktiv angehen: Überprüfen Sie die Konfiguration und Nutzung von KI-Tools wie Nvidia Megatron Bridge und NeMo Framework auf potenzielle Schwachstellen. Seien Sie wachsam gegenüber neuen Formen von KI-gestützter Malware, insbesondere auf mobilen Plattformen, und halten Sie mobile Betriebssysteme und Anwendungen stets auf dem neuesten Stand.
- Stärkung der Authentifizierung: Implementieren Sie Multi-Faktor-Authentifizierung (MFA) überall dort, wo es möglich ist, um das Risiko von Identitätsdiebstahl durch gestohlene Anmeldeinformationen zu minimieren.
- VoIP-Sicherheit überprüfen: Führen Sie Sicherheitsaudits für Ihre VoIP-Systeme durch und stellen Sie sicher, dass alle Grandstream (und ähnliche) Geräte auf die neuesten Firmware-Versionen aktualisiert sind, um Abhör-Schwachstellen zu schließen.
- Regelmäßige Backups und Notfallpläne: Stellen Sie sicher, dass aktuelle Backups vorhanden sind und dass ein Notfallplan für den Fall eines erfolgreichen Angriffs existiert und regelmäßig getestet wird.
Fazit
Der heutige Lagebericht zeigt einmal mehr die kritische Bedeutung eines proaktiven und umfassenden Sicherheitsmanagements. Die schnelle Reaktion auf bekannte Schwachstellen, die Absicherung von KI-Infrastrukturen und der Schutz vor Identitätsdiebstahl sind unerlässlich. Bleiben Sie wachsam, patchen Sie umgehend und überprüfen Sie regelmäßig Ihre Sicherheitskonfigurationen, um Ihr Unternehmen effektiv vor den sich ständig weiterentwickelnden Bedrohungen zu schützen.
