Täglicher IT-Security-Lagebericht für den 29. Mai 2026
Der tägliche IT-Security-Lagebericht vom 29. Mai 2026 beleuchtet eine Reihe kritischer Schwachstellen und anhaltender Bedrohungsentwicklungen, die von IT-Security-Verantwortlichen und Administratoren höchste Aufmerksamkeit erfordern. Insbesondere Patches für weit verbreitete Plattformen und Anwendungen sind von größter Bedeutung, um akute Angriffsvektoren zu schließen. Die Bedrohungen reichen von Authentifizierungsumgehungen und Remote Code Execution (RCE) in gängigen Diensten bis hin zu raffinierten Malware-Kampagnen und Supply-Chain-Angriffen.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle listet kritische Schwachstellen (CVSS-Score >= 9.8), die kürzlich veröffentlicht wurden und eine unmittelbare Patch-Verwaltung erfordern.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-45631: Dokploy PaaS – Hardcoded Secret (RCE) | Ein fest kodiertes Fallback-Geheimnis in Dokploy ermöglicht unauthentifizierten Angreifern, Admin-JWTs zu fälschen, sich als Admin anzumelden und Befehle auf dem Host über das SSH-Terminal auszuführen. Betroffen sind Versionen 0.27.0 bis vor 0.29.3. |
| CRITICAL (9.9) | CVE-2026-9558: Mautic – Server-Side Template Injection (RCE) | Eine SSTI-Schwachstelle in Mautics Theme-Engine erlaubt authentifizierten Benutzern mit entsprechenden Berechtigungen die Ausführung von beliebigem Code auf dem Server durch unsandboxierte Twig-Templates. |
| CRITICAL (9.9) | CVE-2026-9559: Mautic – Path Traversal (RCE) | Eine Path-Traversal-Schwachstelle im Kampagnenimport von Mautic erlaubt authentifizierten Benutzern mit Importrechten, beliebige PHP-Dateien in sensible Systemverzeichnisse zu schreiben und so RCE zu erreichen. |
| CRITICAL (9.9) | CVE-2026-45312: RAGFlow – Jinja2 Template Injection (RCE) | In RAGFlow (Versionen <= 0.24.0) ermöglicht eine Jinja2-Template-Injection im Prompt-Generator jedem authentifizierten Benutzer die Ausführung beliebiger OS-Befehle auf dem Server. |
| CRITICAL (9.9) | CVE-2026-44962: Plesk – XPath Injection (Privilege Escalation/RCE) | Plesk enthält eine XPath-Injection-Schwachstelle in der APS-Anwendungskatalogsuchfunktion, die es einem authentifizierten, niedrig privilegierten Benutzer erlaubt, beliebige Betriebssystembefehle auszuführen. |
| CRITICAL (9.9) | CVE-2026-45663: Dokploy PaaS – Docker File Upload Command Injection | In Dokploy (Versionen <= 0.29.1) existiert eine Command-Injection-Schwachstelle bei Docker-Dateiuploads. Das Parameter ‚destinationPath‘ wird nicht ordnungsgemäß sanitisiert, was RCE ermöglicht. |
| CRITICAL (9.9) | CVE-2026-45625: Arcane – Auth Bypass (Git Credential Exfiltration) | Vor Version 1.19.0 von Arcane konnten nicht-Admin-Benutzer Git-Repository-Konfigurationen manipulieren und sensible Git-Anmeldeinformationen (PAT/SSH-Schlüssel) exfiltrieren. |
| CRITICAL (9.9) | CVE-2026-45629: Dokploy PaaS – WebSocket Command Injection (RCE) | In Dokploy (Versionen <= 0.28.8) ermöglicht eine authentifizierte OS-Command-Injection am WebSocket-Endpunkt /listen-deployment jedem Organisationsmitglied die Ausführung beliebiger Befehle auf Remote-Servern. |
| CRITICAL (9.9) | CVE-2026-45632: Dokploy PaaS – Auth Bypass (Schedule Router RCE) | Vor Version 0.26.7 in Dokploy konnte jeder authentifizierte Benutzer Zeitpläne anderer Organisationen verwalten, was RCE auf dem Dokploy-Host oder Zielserver ermöglichte. |
| CRITICAL (9.9) | CVE-2026-45633: Dokploy PaaS – Docker Logs WebSocket Command Injection | In Dokploy (Versionen <= 0.26.6) sind die Parameter ‚tail‘ und ’since‘ im WebSocket-Endpunkt /docker-container-logs nicht validiert, was authentifizierten Benutzern RCE mit Root-Rechten ermöglicht. |
| CRITICAL (9.9) | CVE-2026-45661: Dokploy PaaS – Path Traversal (Arbitrary File Write/RCE) | In Dokploy (Versionen <= 0.26.5) ermöglicht eine kritische Path-Traversal-Schwachstelle authentifizierten Benutzern, beliebige Dateien während der Anwendungsbereitstellung zu schreiben, was zu RCE führen kann. |
| CRITICAL (9.9) | CVE-2026-47744: Shopper Admin Panel – Auth Bypass (Admin Takeover) | Vor Version 2.8.0 von Shopper erlaubten zwei Autorisierungsfehler jedem authentifizierten Panel-Benutzer, das RBAC-System zu übernehmen und Administratorrechte zu erlangen. |
| CRITICAL (9.9) | CVE-2026-45372: cpp-httplib – HTTP Header Injection | Vor Version 0.44.0 von cpp-httplib kann die fehlerhafte Dekodierung von Header-Werten zu HTTP Header Injection führen, da `%0D%0A` in CR/LF expandiert wird. |
| CRITICAL (9.8) | CVE-2026-8732: WordPress WP Maps Pro – Admin Account Creation (Site Takeover) | Das WP Maps Pro Plugin (alle Versionen <= 6.1.0) ermöglicht unauthentifizierten Angreifern die Erstellung eines Admin-Kontos und eine vollständige Seitenübernahme aufgrund einer fehlerhaften Nonce-Prüfung. |
| CRITICAL (9.8) | CVE-2026-3655: WordPress OTP Login Plugin – Auth Bypass | Das OTP Login With Phone Number, OTP Verification Plugin (Versionen 1.8.50-1.8.60) ist anfällig für eine Authentifizierungsumgehung, die es unauthentifizierten Angreifern erlaubt, sich als beliebige Benutzer anzumelden. |
2. Bedrohungsanalysen und Angriffskampagnen
-
Lieferkettenangriffe (Supply Chain Attacks)
Die CISA warnt weiterhin vor zunehmender Malware-Verbreitung über Lieferketten. Angreifer nutzen Schwachstellen in der Software-Lieferkette aus, um breitflächig Malware in legitime Produkte einzuschleusen. Unternehmen müssen ihre Software-Lieferanten und deren Sicherheitspraktiken genau prüfen und Maßnahmen zur Überprüfung der Software-Integrität implementieren.
-
Missbrauch von Vertrauensdiensten für Malware-Verbreitung
Aktuelle Berichte zeigen, dass ChatGPT-Share-Links missbraucht werden, um auf gefälschte Ausfallseiten umzuleiten und darüber Malware zu verbreiten. Diese Taktik nutzt das Vertrauen in bekannte Dienste aus, um Phishing- und Malware-Angriffe zu tarnen. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei Links, selbst wenn sie von vermeintlich vertrauenswürdigen Quellen stammen.
-
DDoS-as-a-Service und Botnet-Aktivitäten
Der Markt für DDoS-Angriffe als Dienstleistung (DDoS-as-a-Service) wächst stetig, was eine einfache und kostengünstige Durchführung von Denial-of-Service-Angriffen ermöglicht. Parallel dazu wurde ein umfangreiches Botnetz mit 17 Millionen infizierten Geräten durch die niederländische Regierung ausgehoben. Dies verdeutlicht die anhaltende und weitreichende Bedrohung durch Botnets und die Notwendigkeit robuster Abwehrmechanismen gegen solche Angriffe.
3. Datenschutz & Kryptografie
-
Rechtsstreit nach Datenleck bei 23andMe
Der Generalstaatsanwalt von Kalifornien hat das Gentest-Unternehmen 23andMe wegen eines schweren Datenlecks aus dem Jahr 2023 verklagt, bei dem Gesundheitsdaten von Nutzern offengelegt wurden. Dieser Fall verdeutlicht die erheblichen rechtlichen Konsequenzen von Datenpannen und unterstreicht die Notwendigkeit robuster Datenschutzmaßnahmen, insbesondere beim Umgang mit sensiblen Gesundheitsdaten.
-
Kryptografie
Keine besonderen Vorkommnisse bezüglich neuer Kryptografie-Schwachstellen oder -Angriffe in den bereitgestellten Nachrichten.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen werden folgende Maßnahmen dringend empfohlen:
- Priorisierte Patch-Verwaltung:
- Dokploy PaaS: Umgehende Updates auf die Versionen 0.29.3, 0.28.9 und 0.26.8 (oder neuer), abhängig von der verwendeten Basisversion, um die zahlreichen kritischen RCE-, Auth-Bypass- und Command-Injection-Schwachstellen zu beheben.
- Mautic: Aktualisieren Sie Ihre Mautic-Instanzen auf die Versionen, die die SSTI- und Path-Traversal-Schwachstellen beheben.
- RAGFlow: Ein Update auf eine Version > 0.24.0 ist zwingend erforderlich, um die Jinja2-Template-Injection zu schließen.
- Plesk: Stellen Sie sicher, dass Ihr Plesk-Server mit den neuesten Sicherheitspatches ausgestattet ist, um die XPath-Injection-Schwachstelle zu mitigieren.
- Arcane: Aktualisieren Sie Arcane auf Version 1.19.0, um die Authentifizierungsumgehung zu beheben, die zur Exfiltration von Git-Anmeldeinformationen führen kann.
- Shopper Headless Admin Panel: Update auf Version 2.8.0 ist notwendig, um die Admin-Takeover-Schwachstellen zu schließen.
- cpp-httplib: Aktualisieren Sie die Bibliothek auf Version 0.44.0, um die HTTP Header Injection zu verhindern.
- WordPress-Plugins: Für WP Maps Pro (alle Versionen bis 6.1.0) und OTP Login With Phone Number, OTP Verification (Versionen 1.8.50 bis 1.8.60) sind umgehende Updates auf die jeweils gepatchten Versionen durchzuführen, da diese Plugins eine vollständige Seitenübernahme bzw. Authentifizierungsumgehung ermöglichen.
- Regelmäßige Updates: Kritische Updates für Browser (z.B. Chrome), Betriebssysteme (z.B. Oracle) und Anwendungen (z.B. Veeam Backup & Replication) sind zeitnah einzuspielen. Auch der Self-hosted Git-Dienst Gogs wartet auf einen Sicherheitspatch; hier ist erhöhte Wachsamkeit geboten und ggf. eine temporäre Risikominimierung durch Zugriffsbeschränkungen vorzunehmen.
- Supply Chain Security: Implementieren Sie robuste Prozesse zur Überprüfung der Sicherheit Ihrer Software-Lieferkette und der Integrität extern bezogener Komponenten.
- Mitarbeitersensibilisierung: Führen Sie regelmäßige Schulungen durch, um Mitarbeiter für das Erkennen von Phishing-Versuchen und Malware, insbesondere bei der Nutzung von Kollaborations-Tools (wie ChatGPT-Share-Links) und Links von scheinbar legitimen Quellen, zu sensibilisieren.
- Zugriffskontrolle & Least Privilege: Überprüfen und stärken Sie die Zugriffskontrollen in Ihren Systemen. Stellen Sie sicher, dass Benutzer nur die minimal notwendigen Berechtigungen haben, um die Auswirkungen potenzieller Schwachstellen zu begrenzen (z.B. bei Plesk, Arcane, Shopper).
Fazit
Die aktuelle Bedrohungslandschaft des 29. Mai 2026 unterstreicht die Notwendigkeit einer proaktiven und mehrschichtigen IT-Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen, insbesondere in weit verbreiteten PaaS-Lösungen und Content-Management-Systemen, gepaart mit anhaltenden Angriffskampagnen über Lieferketten und dem Missbrauch vertrauenswürdiger Dienste, erfordert eine kontinuierliche Wachsamkeit. Regelmäßige Updates, strenge Zugriffskontrollen und die Sensibilisierung der Mitarbeiter sind entscheidend, um kritische Schwachstellen zu schließen und sich gegen immer raffiniertere Angriffskampagnen zu wappnen. Bleiben Sie informiert und handeln Sie präventiv.
