Täglicher IT-Security-Lagebericht – 26.02.2026

Täglicher IT-Security-Lagebericht vom 26. Februar 2026

Sehr geehrte Leserinnen und Leser,

der heutige Lagebericht zeigt ein weiterhin dynamisches Bedrohungsbild, das insbesondere durch eine Vielzahl kritischer Schwachstellen in weit verbreiteten Softwareprodukten und Anwendungen geprägt ist. Besondere Aufmerksamkeit gilt dabei Open-Source-Plattformen, AI-Entwicklungstools und wichtigen Infrastrukturkomponenten. Zudem beobachten wir anhaltende Angriffskampagnen, die auf die Ausnutzung bekannter Schwachstellen abzielen und die Notwendigkeit einer schnellen Patch-Verwaltung unterstreichen. Auch im Bereich Datenschutz gibt es wieder Meldungen über signifikante Datenlecks.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die kritischsten und schwerwiegendsten Schwachstellen, die aktuell bekannt sind und umgehende Maßnahmen erfordern:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL – 9.9 CVE-2026-27941: OpenLIT GitHub Actions Workflow RCE Mehrere GitHub Actions Workflows in OpenLIT (Open-Source-Plattform für AI Engineering) verwenden das `pull_request_target`-Event und führen unsicheren Code aus, was zur Ausführung beliebigen Codes mit erhöhten Rechten führen kann.
CRITICAL – 9.8 CVE-2026-27966: Langflow CSV Agent Node RCE Langflow (Tool zum Erstellen und Bereitstellen von AI-Agenten) enthält eine Schwachstelle im CSV Agent Node, die durch fest codiertes `allow_dangerous_code=True` zur Remote Code Execution (RCE) via Prompt Injection führt.
CRITICAL – 9.8 CVE-2025-50857: ZenTaoPMS Directory Traversal / RCE ZenTaoPMS ist anfällig für Directory Traversal im Modul `/module/ai/control.php`, was Angreifern die Ausführung von beliebigem Code durch manipulierte Datei-Uploads ermöglicht.
CRITICAL – 9.8 CVE-2026-28213: EverShop „Forgot Password“ Information Disclosure EverShop (TypeScript-E-Commerce-Plattform) gibt in der „Forgot Password“-Funktion das Passwort-Reset-Token in der API-Antwort zurück, was zur Kontoübernahme führen kann.
CRITICAL – 9.1 CVE-2026-28215: Hoppscotch Unauthenticated Config Overwrite Hoppscotch (Open-Source API Development Ecosystem) ermöglicht einem nicht authentifizierten Angreifer, die gesamte Infrastrukturkonfiguration zu überschreiben, inkl. OAuth-Anmeldeinformationen und SMTP-Einstellungen, was zur Kontoübernahme führen kann.
HIGH – 8.8 CVE-2026-27976: Zed Code Editor Symlink Escape / RCE Zed Code Editor’s Erweiterungs-Installer ermöglicht die Erstellung von Symlinks ohne Validierung, was Angreifern das Schreiben von Dateien an beliebige Host-Pfade außerhalb der Sandbox und damit Code-Ausführung ermöglicht.
HIGH – 8.8 CVE-2026-27899: WireGuard Portal Privilege Escalation WireGuard Portal ermöglicht es authentifizierten Nicht-Admin-Benutzern, sich durch eine manipulierte PUT-Anfrage auf ihr eigenes Benutzerprofil Admin-Rechte zu verschaffen.
HIGH – 8.8 CVE-2026-27952: Agenta-API Python Sandbox Escape / RCE Agenta-API (Open-Source LLMOps-Plattform) wies eine Python Sandbox Escape-Schwachstelle im Code-Evaluator auf, die es authentifizierten Benutzern ermöglichte, beliebigen Code auszuführen.
HIGH – 8.8 CVE-2026-27961: Agenta Server-Side Template Injection (SSTI) Agenta-API ist anfällig für eine Server-Side Template Injection (SSTI) im Evaluator-Template-Rendering des API-Servers, was potenziell zur Code-Ausführung führen kann.
HIGH – 8.8 CVE-2026-1311: WordPress Worry Proof Backup Path Traversal / RCE Das WordPress-Plugin „Worry Proof Backup“ ist anfällig für Path Traversal bei der Backup-Upload-Funktion, was authentifizierten Abonnenten die Remote Code Execution ermöglicht.
HIGH – 8.8 CVE-2026-1565: WordPress User Frontend Arbitrary File Upload / RCE Das WordPress-Plugin „User Frontend“ ist anfällig für beliebige Datei-Uploads aufgrund unzureichender Dateitypvalidierung, was authentifizierten Autoren die Remote Code Execution ermöglichen kann.
HIGH – 8.7 CVE-2026-28274: Initiative Stored Cross-Site Scripting (XSS) Initiative (selbst gehostete Projektmanagement-Plattform) ist anfällig für Stored Cross-Site Scripting (XSS) in der Dokumenten-Upload-Funktion, was zur Exfiltration sensibler Daten führen kann.
HIGH – 8.6 CVE-2026-26938: Kibana Workflows Arbitrary File Read / SSRF Kibana Workflows sind anfällig für die unsachgemäße Neutralisierung spezieller Elemente in einer Template Engine, was authentifizierten Benutzern das Lesen beliebiger Dateien und SSRF über Code Injection ermöglicht.
HIGH – 8.4 CVE-2026-3071: Flair LanguageModel Deserialization / RCE Die LanguageModel-Klasse in Flair (Natural Language Processing Bibliothek) ist anfällig für die Deserialisierung von nicht vertrauenswürdigen Daten, was beim Laden eines bösartigen Modells zur Remote Code Execution führen kann.
HIGH – 8.3 CVE-2026-28216: Hoppscotch Personal Environment IDOR Hoppscotch (Open-Source API Development Ecosystem) ermöglicht einem angemeldeten Benutzer das Lesen, Modifizieren oder Löschen der persönlichen Umgebungen anderer Benutzer per ID (IDOR-Schwachstelle).

2. Bedrohungsanalysen und Angriffskampagnen

Die aktuellen Nachrichten zeigen besorgniserregende Trends in der Ausnutzung von Schwachstellen und der Entwicklung neuer Angriffsvektoren:

  • Langjährige Ausnutzung von Cisco-Schwachstellen: Berichte von Cisco deuten darauf hin, dass Angreifer seit bis zu drei Jahren unbemerkt über bestimmte Sicherheitslücken in Netzwerke eindringen konnten. Dies unterstreicht die Notwendigkeit robuster Erkennungsmechanismen und der Annahme, dass selbst scheinbar harmlose oder ältere Schwachstellen noch aktiv ausgenutzt werden könnten.
  • Kritische Schwachstellen in Automatisierungs- und Infrastruktur-Tools: Mehrere Meldungen betreffen kritische Schwachstellen in weit verbreiteten Business- und Infrastruktur-Tools. Dazu gehören das Automatisierungs-Tool n8n, diverse VMware-Produkte, Trend Micro Apex One, Solarwinds Serv-U und Juniper Networks PTX. Diese Lücken können Angreifern oft Remote Code Execution oder vollständige Systemübernahmen ermöglichen, was sie zu attraktiven Zielen für umfangreiche Kampagnen macht.
  • Neue Risiken durch AI-Technologien und API-Keys: Eine neue Entwicklung zeigt, dass vormals harmlos erscheinende Google API-Keys nun Daten aus Googles Gemini AI offenlegen können. Dies verdeutlicht, wie sich die Risikolandschaft mit der fortschreitenden Integration von KI-Technologien verändert und neue, oft subtile Expositionswege schafft, die über traditionelle Sicherheitsbetrachtungen hinausgehen.

3. Datenschutz & Kryptografie

Der Bereich Datenschutz ist weiterhin stark betroffen von Cyberangriffen und Datenlecks:

  • Massives Datenleck bei ManoMano: Die europäische DIY-Kette ManoMano hat ein Datenleck bestätigt, das bis zu 38 Millionen Kunden betreffen könnte. Solche Vorfälle unterstreichen die weitreichenden Konsequenzen von Sicherheitsverletzungen und die Notwendigkeit eines umfassenden Schutzes von Kundendaten.
  • Cyberangriff auf Olympique Marseille: Der Fußballverein Olympique Marseille bestätigte einen versuchten Cyberangriff, der ebenfalls zu einem Datenleck geführt hat. Dies zeigt, dass Organisationen aller Branchen, einschließlich Sportvereine, attraktive Ziele für Cyberkriminelle sind und ihre sensiblen Daten geschützt werden müssen.

4. Handlungsempfehlungen

Basierend auf den identifizierten Schwachstellen und Bedrohungen empfehlen wir folgende Maßnahmen:

  • Dringende Patch-Verwaltung: Priorisieren Sie die sofortige Installation von Updates für folgende Produkte und Versionen:
    • OpenLIT: Update auf Version 1.37.1 zur Behebung von RCE-Schwachstellen in GitHub Actions.
    • Langflow: Update auf Version 1.8.0 zur Behebung der RCE-Schwachstelle im CSV Agent Node.
    • ZenTaoPMS: Update auf eine Version >= 21.6.beta, um Directory Traversal und RCE zu verhindern.
    • EverShop: Update auf Version 2.1.1, um die Offenlegung von Passwort-Reset-Tokens zu beheben.
    • Hoppscotch: Update auf Version 2026.2.0, um unauthentifizierte Konfigurationsüberschreibungen und IDOR-Schwachstellen zu schließen.
    • Zed Code Editor: Update auf Version 0.224.4 zur Behebung von Sandbox-Escape- und RCE-Schwachstellen.
    • WireGuard Portal: Update auf Version 2.1.3 zur Behebung der Rechteeskalationsschwachstelle.
    • Agenta-API: Update auf Version 0.48.1 (oder höher, ab v0.60+ wurde die Sandbox ersetzt) zur Behebung von Sandbox-Escape- und SSTI-Schwachstellen.
    • WordPress-Plugins: Aktualisieren Sie das „Worry Proof Backup“-Plugin auf eine Version > 0.2.4 und das „User Frontend“-Plugin auf eine Version > 4.2.8, um Path Traversal und beliebige Datei-Uploads zu verhindern.
    • Kibana: Patchen Sie Workflows, um die Anfälligkeit für das Lesen beliebiger Dateien und SSRF zu beheben.
    • Flair: Überprüfen Sie die Sprachmodelle und stellen Sie sicher, dass keine bösartigen Modelle geladen werden können; aktualisieren Sie auf die neueste Version.
  • Überprüfung von AI-Plattform-Konfigurationen: Prüfen Sie die Konfigurationen Ihrer AI-Entwicklungsumgebungen (z.B. Langflow), um unnötige Risiken wie `allow_dangerous_code=True` zu vermeiden. Sichern Sie zudem alle API-Keys und Zugangsdaten, insbesondere im Kontext von AI-Diensten, wie im Fall von Google Gemini.
  • Sicherung von Infrastruktur- und Automatisierungs-Tools: Spielen Sie umgehend alle verfügbaren Patches für Cisco, VMware, Trend Micro Apex One, Solarwinds Serv-U, n8n und Juniper Networks PTX ein, um die bekannten und möglicherweise bereits ausgenutzten kritischen Schwachstellen zu schließen.
  • Zugriffskontrollen und Segmentierung: Überprüfen und verschärfen Sie Zugriffskontrollen, insbesondere für Admin-Schnittstellen und Benutzerprofile. Implementieren Sie eine robuste Netzwerksegmentierung, um die Auswirkungen potenzieller Kompromittierungen zu begrenzen.
  • Mitarbeiterschulung und Sensibilisierung: Sensibilisieren Sie Mitarbeiter für Phishing- und Social-Engineering-Angriffe, die oft als initialer Vektor für komplexere Attacken dienen.
  • Incident Response Plan: Überprüfen und testen Sie regelmäßig Ihren Incident Response Plan, um auf Datenlecks und Cyberangriffe effektiv reagieren zu können.

Fazit

Der heutige Lagebericht verdeutlicht einmal mehr die Notwendigkeit einer proaktiven und umfassenden IT-Sicherheitsstrategie. Die Kombination aus kritischen Software-Schwachstellen, gezielten Angriffskampagnen und den sich entwickelnden Risiken im Bereich der Künstlichen Intelligenz erfordert höchste Wachsamkeit. Umfassende Patch-Verwaltung, die Sicherung kritischer Infrastruktur und eine kontinuierliche Überprüfung von Konfigurationen sind essenziell, um die Resilienz gegenüber den aktuellen Bedrohungen zu stärken und die Integrität sensibler Daten zu gewährleisten.

Trending

Täglicher IT-Security-Lagebericht – 26.02.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux