Täglicher IT-Security-Lagebericht – 21.03.2026

Als erfahrener IT-Security-Analyst präsentiere ich Ihnen den täglichen IT-Security-Lagebericht für den 21. März 2026.

Einleitung

Der heutige Lagebericht zeigt eine Reihe kritischer und hochkritischer Schwachstellen, die von der Eskalation von Privilegien bis hin zu weitreichenden SQL-Injections reichen. Besonders hervorzuheben sind gravierende Lücken in Identitätsmanagementsystemen und WordPress-Plugins. Parallel dazu sehen wir weiterhin gezielte Angriffskampagnen, einschließlich Phishing durch staatliche Akteure und Kompromittierungen in der Softwarelieferkette. Proaktives Patchen und die Sensibilisierung der Nutzer bleiben von höchster Bedeutung.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die wichtigsten identifizierten Common Vulnerabilities and Exposures (CVEs) auf, die am heutigen Tag von Bedeutung sind.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
Kritisch (9.8) CVE-2019-25568: Memu Play – Insecure File Permissions Memu Play 6.0.7 weist unsichere Dateiberechtigungen auf, die es Benutzern mit geringen Privilegien ermöglichen, Privilegien zu eskalieren, indem sie die ‚MemuService.exe‘-Ausführungsdatei ersetzen, was zur Ausführung von bösartigem Code mit Systemprivilegien führt.
Kritisch (9.1) CVE-2026-24060: BACnet – Unverschlüsselte Dienstinformationen Dienstinformationen werden bei der Übertragung als BACnet-Pakete nicht verschlüsselt, was das Abhören, Abfangen und Modifizieren wertvoller Daten (z.B. Dateiposition, Dateidaten) durch Angreifer ermöglicht.
Hoch (8.8) CVE-2026-32042: OpenClaw – Privilege Escalation (Ungepaarte Geräte) OpenClaw-Versionen vor 2026.2.25 enthalten eine Schwachstelle zur Privilegieneskalation, die es ungepaarten Geräten ermöglicht, Bediener-Pairing-Anforderungen zu umgehen und erhöhte Operator-Scopes (inkl. operator.admin) selbst zuzuweisen.
Hoch (8.8) CVE-2026-32051: OpenClaw – Authorization Mismatch OpenClaw-Versionen vor 2026.3.1 weisen eine Autorisierungs-Mismatch-Schwachstelle auf, die es authentifizierten Anrufern mit ‚operator.write‘-Berechtigung ermöglicht, ‚owner-only‘-Tools (wie Gateway und Cron) über Agenten-Runs aufzurufen.
Hoch (8.8) CVE-2026-2941: WordPress Linksy Search and Replace – Privilege Escalation Das WordPress-Plugin Linksy Search and Replace (<= 1.0.4) ist anfällig für unautorisierte Datenänderung und Privilegieneskalation aufgrund einer fehlenden Berechtigungsprüfung, die authentifizierten Abonnenten ermöglicht, ihre Rolle auf Administrator zu ändern.
Hoch (8.8) CVE-2026-3334: WordPress CMS Commander – SQL Injection Das WordPress-Plugin CMS Commander (<= 2.288) ist anfällig für SQL Injection über die Parameter 'or_blogname', 'or_blogdescription' und 'or_admin_email' im Wiederherstellungsworkflow, was zur Extraktion sensibler Datenbankinformationen führen kann.
Hoch (8.8) CVE-2026-4261: WordPress Expire Users – Privilege Escalation Das WordPress-Plugin Expire Users (<= 1.2.2) ermöglicht authentifizierten Benutzern (ab Abonnenten-Level), ihre Privilegien auf Administrator zu erhöhen, indem sie die 'on_expire_default_to_role'-Meta über die 'save_extra_user_profile_fields'-Funktion aktualisieren.
Hoch (8.8) CVE-2026-4529: D-Link DHP-1320 – Stack-based Buffer Overflow Eine Schwachstelle in D-Link DHP-1320 1.00WWB04 (SOAP Handler, Funktion ‚redirect_count_down_page‘) führt zu einem Stack-basierten Buffer Overflow, der aus der Ferne ausnutzbar ist. Hinweis: Das Produkt wird nicht mehr vom Hersteller unterstützt.
Hoch (8.3) CVE-2026-1313: WordPress MimeTypes Link Icons – Server-Side Request Forgery (SSRF) Das WordPress-Plugin MimeTypes Link Icons (<= 3.2.20) ist anfällig für SSRF, da es ausgehende HTTP-Anfragen an benutzerkontrollierte URLs ohne ordnungsgemäße Validierung sendet, wenn "Show file size" aktiviert ist.
Hoch (8.2) CVE-2019-25575: SimplePress CMS – SQL Injection SimplePress CMS 1.0.7 enthält eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, beliebige SQL-Abfragen über die Parameter ‚p‘ und ’s‘ auszuführen.
Hoch (8.2) CVE-2019-25576: Kepler Wallpaper Script – SQL Injection Kepler Wallpaper Script 1.1 enthält eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, beliebige SQL-Abfragen über den ‚category‘-Parameter auszuführen.
Hoch (8.2) CVE-2019-25578: phpTransformer – SQL Injection phpTransformer 2016.9 enthält eine SQL-Injection-Schwachstelle, die es Remote-Angreifern ermöglicht, beliebige SQL-Abfragen über den ‚idnews‘-Parameter in GeneratePDF.php auszuführen.
Hoch (8.2) CVE-2019-25580: ownDMS – SQL Injection ownDMS 4.7 enthält eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, beliebige SQL-Abfragen über den ‚IMG‘-Parameter in den Stream-Skripten auszuführen.
Hoch (8.2) CVE-2019-25581: i-doit CMDB – SQL Injection i-doit CMDB 1.12 enthält eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, beliebige SQL-Abfragen über den ‚objGroupID‘-Parameter auszuführen.
Hoch (8.1) CVE-2025-14037: WordPress Invelity Product Feeds – Arbitrary File Deletion Das WordPress-Plugin Invelity Product Feeds (<= 1.2.6) ist anfällig für das Löschen beliebiger Dateien durch Path Traversal in der 'createManageFeedPage'-Funktion, ausnutzbar durch authentifizierte Administratoren nach Klick auf einen bösartigen Link.

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuellen Nachrichtenlage deutet auf mehrere kritische Entwicklungen hin, die die Bedrohungslandschaft prägen:

  • Kritische Schwachstellen in Identitäts- und Infrastrukturmanagement-Systemen: Oracle hat ein Notfall-Update für eine kritische Remote Code Execution (RCE)-Schwachstelle im Identity Manager veröffentlicht. Gleichzeitig wurden diverse Attacken auf Dell Secure Connect Gateway Policy Manager und kompromittierbare SSH-Sessions im IBM QRadar SIEM bekannt. Dies unterstreicht die Notwendigkeit einer akribischen Patch-Verwaltung und verstärkter Absicherung von Systemen, die zentrale Authentifizierungs- und Managementfunktionen bereitstellen.
  • Kompromittierung der Softwarelieferkette und Abuse von Cloud-Diensten: Ein Vorfall betraf den Trivy Vulnerability Scanner, bei dem über GitHub Actions Infostealer verbreitet wurden, was die anhaltende Gefahr von Supply-Chain-Angriffen verdeutlicht. Zusätzlich wurden Microsoft Azure Monitor-Benachrichtigungen für Callback-Phishing-Angriffe missbraucht, was auf die kreative Nutzung legitimer Cloud-Infrastruktur durch Angreifer hinweist. Organisationen müssen ihre CI/CD-Pipelines sichern und Cloud-Konfigurationen genau prüfen.
  • Staatlich unterstützte Phishing-Kampagnen: Das FBI hat Phishing-Angriffe auf Signal, die russischen Geheimdiensten zugeschrieben werden, aufgedeckt. Dies zeigt die anhaltende Bedrohung durch hoch entwickelte Phishing-Angriffe, die von staatlichen Akteuren ausgehen und sensible Kommunikation und Daten ins Visier nehmen. Die Sensibilisierung der Nutzer und die Implementierung von Multi-Faktor-Authentifizierung (MFA) sind entscheidend.

3. Datenschutz & Kryptografie

Eine relevante Entwicklung im Bereich Datenschutz und Kryptografie ist die Schwachstelle CVE-2026-24060, die unverschlüsselte Dienstinformationen in BACnet-Paketen betrifft. Dies ermöglicht das Abhören und Modifizieren sensibler Daten, was direkte Auswirkungen auf die Vertraulichkeit und Integrität von Daten in industriellen Steuerungssystemen haben kann. Es ist unerlässlich, die Netzwerkkonfigurationen zu überprüfen und, wo möglich, Verschlüsselung für solche Protokolle nachzurüsten oder alternative sichere Kommunikationswege zu implementieren.

Positiv ist die Einführung des ‚Advanced Flow‘ durch Google für sicheres APK-Sideloading auf Android zu vermerken. Dies trägt zur Verbesserung des Datenschutzes und der Sicherheit von Endnutzern bei, indem es eine sicherere Methode zum Installieren von Apps außerhalb des offiziellen Stores bietet.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungsanalysen empfehle ich folgende Maßnahmen:

  • Priorisierte Patch-Verwaltung:
    • Kritische Systeme: Patches für Oracle Identity Manager, OpenWrt, Dell Secure Connect Gateway Policy Manager und IBM QRadar SIEM sind umgehend zu prüfen und anzuwenden, um RCE und Kompromittierungen zentraler Dienste zu verhindern.
    • Webbrowser und Anwendungen: Google Chrome hat 26 Sicherheitslücken geschlossen; stellen Sie sicher, dass alle Browser auf dem neuesten Stand sind.
    • WordPress-Installationen: Überprüfen und aktualisieren Sie umgehend die Plugins Linksy Search and Replace (<= 1.0.4), CMS Commander (<= 2.288), Expire Users (<= 1.2.2), MimeTypes Link Icons (<= 3.2.20) und Invelity Product Feeds (<= 1.2.6), um Privilegieneskalation, SQL Injection, SSRF und das Löschen beliebiger Dateien zu verhindern.
    • Alte Systeme: Wenn D-Link DHP-1320 1.00WWB04 oder andere nicht mehr unterstützte Produkte im Einsatz sind, planen Sie deren umgehende Außerbetriebnahme oder isolieren Sie diese strengstens vom Netzwerk.
  • Überprüfung der Dateiberechtigungen: Für Memu Play 6.0.7 (CVE-2019-25568) und ähnliche Anwendungen sind die Dateiberechtigungen im Installationsverzeichnis kritisch zu überprüfen, um das Ersetzen von ausführbaren Dateien zu verhindern.
  • Sicherheit von Protokollen und Konfigurationen:
    • BACnet: Überprüfen Sie die Nutzung von BACnet (CVE-2026-24060) in Ihrer Umgebung. Falls möglich, implementieren Sie Netzsegmentierung und -überwachung für BACnet-Verkehr. Evaluieren Sie, ob sensitive Daten über unverschlüsselte BACnet-Kommunikation übertragen werden und ergreifen Sie Maßnahmen zur Verschlüsselung oder Alternativlösungen.
    • OpenClaw: Aktualisieren Sie OpenClaw auf Version 2026.2.25 (für CVE-2026-32042) und 2026.3.1 (für CVE-2026-32051), um Privilegieneskalation und Autorisierungsfehler zu beheben.
    • SQL Injection: Führen Sie Code-Reviews und Penetrationstests für Anwendungen wie SimplePress CMS, Kepler Wallpaper Script, phpTransformer, ownDMS und i-doit CMDB (und ähnliche) durch, um SQL Injection-Schwachstellen zu identifizieren und zu beheben. Implementieren Sie Prepared Statements und ORM-Frameworks.
  • Phishing-Abwehr und Benutzer-Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig im Erkennen von Phishing-Angriffen, insbesondere solcher, die auf Cloud-Dienste oder Kommunikationsplattformen abzielen. Fördern Sie die Nutzung von MFA.
  • Sicherung der Softwarelieferkette: Überprüfen Sie die Sicherheit Ihrer CI/CD-Pipelines und die Integrität Ihrer Entwicklungs- und Build-Systeme, um Angriffe wie den Trivy-Vorfall zu verhindern.

Fazit

Der heutige Tag unterstreicht die fortwährende Notwendigkeit einer robusten und proaktiven Sicherheitsstrategie. Die Vielzahl an kritischen Schwachstellen in Kernsystemen und weit verbreiteten Anwendungen erfordert sofortiges Handeln durch Patches und Konfigurationsprüfungen. Gleichzeitig zeigen die Angriffskampagnen eine zunehmende Raffinesse bei der Ausnutzung von Lieferketten und Cloud-Diensten. Eine Kombination aus technischer Härtung, konsequenter Patch-Verwaltung und kontinuierlicher Schulung der Mitarbeiter ist unerlässlich, um die digitale Resilienz zu gewährleisten.

Trending

Täglicher IT-Security-Lagebericht – 21.03.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux