Täglicher IT-Security-Lagebericht – 31.03.2026

Täglicher IT-Security-Lagebericht vom 31. März 2026

Einleitung

Der heutige Lagebericht beleuchtet eine Reihe kritischer Schwachstellen, die dringende Aufmerksamkeit erfordern, sowie aktuelle Angriffskampagnen, die auf verbreitete Unternehmenslösungen abzielen. Eine hohe Dichte an Remote Code Execution (RCE) und Command Injection Schwachstellen dominiert die aktuelle CVE-Liste. Des Weiteren gibt es Entwicklungen im Bereich Datenschutz und neue Plattformen, die den Fokus auf Privatsphäre legen.

1. Aktuelle CVEs und Schwachstellen

Die nachfolgende Tabelle listet die kritischsten Schwachstellen auf, die in den letzten 24 Stunden bekannt wurden oder aktualisiert wurden und ein CVSS-Rating von 9.0 oder höher aufweisen.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (10.0) CVE-2026-34162: FastGPT HTTP Proxy Auth Bypass FastGPT bis Version 4.14.9.5 weist einen Authentifizierungs-Bypass im HTTP tools testing Endpoint auf, der als vollständiger HTTP-Proxy fungiert und serverseitige HTTP-Anfragen ermöglicht.
CRITICAL (9.9) CVE-2026-34156: NocoBase Workflow Script RCE In NocoBase vor Version 2.0.28 kann ein authentifizierter Angreifer durch Umgehen der Sandbox im Workflow Script Node Remote Code Execution als Root erreichen.
CRITICAL (9.8) CVE-2026-3300: Everest Forms Pro PHP Code Injection (RCE) Das WordPress-Plugin Everest Forms Pro bis Version 1.9.12 ist anfällig für Remote Code Execution durch PHP Code Injection in der „Complex Calculation“-Funktion.
CRITICAL (9.8) CVE-2026-32714: SciTokens SQL Injection SciTokens vor Version 1.9.6 ist in der KeyCache-Klasse anfällig für SQL Injection aufgrund unzureichender Validierung benutzerdefinierter Daten.
CRITICAL (9.8) CVE-2026-32917: OpenClaw Remote Command Injection OpenClaw vor 2026.3.13 enthält eine Remote Command Injection im iMessage Attachment Staging Flow, die die Ausführung beliebiger Befehle auf Remote-Hosts ermöglicht.
CRITICAL (9.8) CVE-2026-34243: wenxian GitHub Actions Command Injection wenxian Versionen 0.3.1 und früher sind anfällig für Command Injection in GitHub Actions Workflows, was zu beliebiger Codeausführung auf dem Runner führen kann.
CRITICAL (9.8) CVE-2026-1579: MAVLink Unauthenticated Command Execution Das MAVLink-Protokoll erfordert standardmäßig keine kryptographische Authentifizierung. Ohne MAVLink 2.0 Message Signing können unauthentifizierte Parteien beliebige Nachrichten senden, inkl. interaktiver Shell-Zugriffe.
CRITICAL (9.6) CVE-2026-0596: mlflow/mlflow Command Injection Eine Command Injection-Schwachstelle in mlflow/mlflow ermöglicht die Ausführung beliebiger Befehle über den `model_uri` Parameter, wenn Modelle mit `enable_mlserver=True` bereitgestellt werden.
CRITICAL (9.6) CVE-2026-34449: SiYuan RCE via Permissive CORS SiYuan vor Version 3.6.2 ist anfällig für Remote Code Execution durch eine permissive CORS-Richtlinie, die das Einschleusen von JavaScript ermöglicht, das im Node.js-Kontext von Electron ausgeführt wird.
CRITICAL (9.4) CVE-2026-32916: OpenClaw Authorization Bypass OpenClaw Versionen 2026.3.7 vor 2026.3.11 weisen eine Autorisierungs-Bypass-Schwachstelle auf, die es unauthentifizierten Angreifern erlaubt, privilegierte Gateway-Aktionen auszuführen.
CRITICAL (9.3) CVE-2026-34361: HAPI FHIR Auth Token Disclosure HAPI FHIR vor Version 6.9.4 kann über einen unauthentifizierten Endpoint und eine URL-Präfix-Matching-Schwachstelle Authentifizierungstoken offenlegen.
CRITICAL (9.1) CVE-2026-21861: baserCMS OS Command Injection (Admin) baserCMS vor Version 5.2.3 enthält eine OS Command Injection-Schwachstelle in der Update-Funktionalität, die authentifizierten Administratoren die Ausführung beliebiger OS-Befehle ermöglicht.
CRITICAL (9.1) CVE-2026-30877: baserCMS Update Command Injection (Admin) baserCMS vor Version 5.2.3 hat eine weitere OS Command Injection-Schwachstelle in der Update-Funktion, die ähnliche Auswirkungen wie CVE-2026-21861 hat.
CRITICAL (9.1) CVE-2025-15618: Business::OnlinePayment::StoredTransaction Insecure Key Business::OnlinePayment::StoredTransaction für Perl verwendet bis Version 0.01 einen unsicheren geheimen Schlüssel, generiert aus einer MD5-Hash des rand-Funktion, der für die Verschlüsselung von Kreditkartendaten ungeeignet ist.
CRITICAL (9.0) CVE-2026-30282: UXGROUP LLC Cast to TV File Overwrite UXGROUP LLC Cast to TV Screen Mirroring v2.2.77 ist anfällig für eine beliebige Dateiüberschreibung über den Dateiimportprozess, was zu RCE oder Informationslecks führen kann.

2. Bedrohungsanalysen und Angriffskampagnen

Aktuelle Berichte zeigen, dass Bedrohungsakteure weiterhin proaktiv versuchen, bekannte Schwachstellen in weit verbreiteten Unternehmenslösungen auszunutzen. Besonders hervorzuheben sind folgende Entwicklungen:

  • FortiClient EMS und F5 BIG-IP im Fokus von Angreifern: Es werden aktive Angriffe auf FortiClient EMS beobachtet, die eine Sicherheitslücke ausnutzen. Parallel dazu werden auch Angriffe auf F5 BIG-IP Access Policy Manager gemeldet. Unternehmen, die diese Produkte einsetzen, sollten dringend die verfügbaren Updates einspielen und ihre Systeme auf Kompromittierung überprüfen.
  • Citrix Gateway und Netscaler ADC unter Beschuss: Angriffe laufen ebenfalls auf Citrix Gateway und Netscaler ADC. Diese Infrastrukturkomponenten sind oft exponiert und bieten ein attraktives Ziel für Angreifer, um Zugang zu internen Netzwerken zu erhalten. Auch hier ist höchste Priorität auf das Patchen und Monitoring zu legen.
  • Gambio-Webshops von Angriffen betroffen: Online-Shops, die Gambio nutzen, sind Ziel von Angriffen geworden, bei denen Schwachstellen ausgenutzt werden, um Webshops zu kompromittieren. Shop-Betreiber müssen umgehend die empfohlenen Updates installieren, um ihre Kundendaten und den Geschäftsbetrieb zu schützen.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz und Kryptografie gab es interessante Neuigkeiten:

  • Proton launcht „Meet“ für datenschutzfreundliche Videokonferenzen: Proton, bekannt für seine datenschutzorientierten Dienste, hat eine neue Videokonferenzplattform namens „Meet“ eingeführt. Dies ist ein wichtiger Schritt in Richtung sicherer und privater Kommunikationslösungen.
  • Apple’s Lockdown Mode weiterhin robust: Apple hat erneut betont, dass der Lockdown Mode auf dem iPhone bisher „noch nie“ erfolgreich gehackt wurde. Dies unterstreicht die Wirksamkeit dieser speziellen Schutzfunktion für Personen, die einem hohen Angriffsrisiko ausgesetzt sind.
  • Schwachstelle in Perl-Bibliothek gefährdet Kreditkartendaten: Die CVE-2025-15618 zeigt auf, dass die Perl-Bibliothek Business::OnlinePayment::StoredTransaction bis Version 0.01 einen unsicheren Schlüssel zur Verschlüsselung von Kreditkartentransaktionsdaten verwendet. Dies ist ein klares Beispiel dafür, wie mangelhafte kryptographische Praktiken sensible Daten gefährden können.

4. Handlungsempfehlungen

Basierend auf den aktuellen Schwachstellen und Bedrohungen sollten folgende Maßnahmen priorisiert werden:

  • Umfassendes Patch-Management: Installieren Sie umgehend alle verfügbaren Sicherheitspatches für die oben genannten kritischen Schwachstellen. Dies betrifft insbesondere:
    • FastGPT: Update auf Version 4.14.9.5 oder neuer.
    • NocoBase: Update auf Version 2.0.28 oder neuer.
    • Everest Forms Pro (WordPress Plugin): Update auf Version 1.9.13 oder neuer.
    • SciTokens: Update auf Version 1.9.6 oder neuer.
    • OpenClaw: Update auf Version 2026.3.13 oder neuer (für CVE-2026-32917) bzw. 2026.3.11 oder neuer (für CVE-2026-32916).
    • mlflow/mlflow: Update auf die neueste sichere Version.
    • SiYuan: Update auf Version 3.6.2 oder neuer.
    • HAPI FHIR: Update auf Version 6.9.4 oder neuer.
    • baserCMS: Update auf Version 5.2.3 oder neuer.
    • UXGROUP LLC Cast to TV Screen Mirroring: Update auf die neueste sichere Version.
  • Absicherung von Webshops und Infrastruktur:
    • Gambio-Nutzer müssen dringend alle empfohlenen Sicherheitsupdates installieren und ihre Systeme auf unbefugte Aktivitäten überprüfen.
    • FortiClient EMS, F5 BIG-IP, Citrix Gateway und Netscaler ADC-Betreiber müssen die entsprechenden Updates sofort einspielen und intensiv auf Exploitation-Versuche überwachen.
  • Kryptographische Best Practices:
    • Nutzer von MAVLink-Systemen sollten unbedingt MAVLink 2.0 Message Signing aktivieren, um unauthentifizierte Befehlsausführung zu verhindern.
    • Entwickler, die kryptographische Schlüssel generieren, sollten sicherstellen, dass sie kryptographisch starke Zufallszahlen und etablierte Best Practices verwenden, wie durch CVE-2025-15618 hervorgehoben.
  • Überwachung und Incident Response: Verstärken Sie die Überwachung Ihrer Netzwerke und Systeme auf verdächtige Aktivitäten. Stellen Sie sicher, dass Ihre Incident-Response-Pläne aktuell sind und regelmäßig getestet werden.

Fazit

Der 31. März 2026 unterstreicht die anhaltende Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie. Die hohe Anzahl kritischer RCE-Schwachstellen in verschiedenen Softwareprodukten und die aktiven Angriffe auf weit verbreitete Infrastrukturlösungen erfordern sofortiges Handeln. Ein robustes Patch-Management, ständige Überwachung und die Einhaltung kryptographischer Best Practices sind unerlässlich, um die digitale Sicherheit zu gewährleisten.

Trending

Täglicher IT-Security-Lagebericht – 31.03.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux