Mai 2026 Threat Report: Verstärkte Systemüberprüfung und Patching

Die Ausnutzung von Schwachstellen hat sich mittlerweile als häufigste Methode etabliert, mit der Angreifer sich zunächst Zugang zur Umgebung eines Unternehmens verschaffen. Das zeigt, wie wichtig es nach wie vor ist, die Grundlagen richtig zu machen.

— Verizon Data Breach Investigations Report 2026

Die Industrialisierung der Schwachstellenausnutzung ist nicht neu; der prozessgesteuerte Ansatz zur Instrumentalisierung von Schwachstellen existiert seit Langem, lange vor LLMs. Doch ausgefeilte Cybersicherheitsfähigkeiten stehen heute fast jedem zur Verfügung, der einen Laptop hat. Anthropic hat inzwischen den ersten offiziellen Wirkungsbericht zu Mythos veröffentlicht [1][2]. Die Ergebnisse deuten darauf hin, dass die Auswirkungen für Softwareanbieter und Verteidiger spürbar sein werden, auch wenn Perfektion noch unerreicht bleibt.

Im April und Mai 2026 bestätigten große Softwareanbieter [3][4][5], Anbieter von Sicherheitsinformationen [6][7][8] und Cybersicherheits-Nachrichtenportale [9] die Auswirkungen von Mythos auf die Offenlegung von Schwachstellen. Sicherheitsforscher von Mozilla schrieben, es sei „kaum zu überschätzen, wie sehr sich diese Dynamik für uns innerhalb weniger Monate verändert hat“. Cisco wies auf den Mangel an nachgelagerter Unterstützung für die Offenlegung der bevorstehenden Flut neuer Probleme hin. In Kombination mit dem einleitenden DBIR-Zitat ist die Schlussfolgerung klar: Sicherheitsverantwortliche müssen stärker auf kontinuierliches Schwachstellenmanagement und Patch-Performance setzen, um kritische Risiken zu reduzieren.

Cisco veröffentlicht zwei CVSS-10-Schwachstellen – Catalyst SD-WAN wird aktiv ausgenutzt

Im Mai 2026 wurden zwei neue Schwachstellen mit maximalem Schweregrad für Cisco-Produkte bekannt. CVE-2026-20182 in Cisco Catalyst SD-WAN wird aktiv ausgenutzt; die CISA hat die Schwachstelle in ihre KEV-Liste aufgenommen und die Leitlinien zu Angriffen auf Catalyst SD-WAN aktualisiert. Sechs weitere CVEs in Catalyst SD-WAN wurden 2026 ebenfalls in die CISA-KEV-Liste aufgenommen. Die zweite neue Schwachstelle mit maximalem Schweregrad aus dem Mai 2026 ist CVE-2026-20223 in Cisco Secure Workload.

Für CVE-2026-20182 wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18]; für CVE-2026-20223 ebenfalls [1][2][3][4][5][6][7][8][9][10][11]. Details:

• CVE-2026-20182 (CVSS 10, EPSS >= 99. Perzentil): Eine Schwachstelle in der Peering-Authentifizierung des Cisco Catalyst SD-WAN Controllers und Managers ermöglicht einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen (CWE-287) und sich als interner Administrator anzumelden. Mit dem gekaperten Konto kann ein Angreifer auf NETCONF zugreifen und SD-WAN-Fabric Netzwerkkonfigurationen Ausnutzung ist über HTTP-Anfragen möglich. Weitere Informationen in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20223 (CVSS 10): Fehlende Authentifizierung (CWE-306) in den REST-APIs von Cisco Secure Workload ermöglicht einem nicht authentifizierten Angreifer aus der Ferne, mit Site-Admin-Rechten auf Site-Ressourcen zuzugreifen. Angreifer können manipulierte HTTP-API-Anfragen nutzen, um sensible Informationen auszulesen und Konfigurationsänderungen über Mandantengrenzen hinweg vorzunehmen. Weitere Informationen im offiziellen Advisory von Cisco.

Cisco gibt an, dass es für keine der beiden Schwachstellen Workarounds gibt. Zur vollständigen Behebung müssen Patches installiert werden. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von CVE-2026-20182 und CVE-2026-20223 sowie die Erkennung weiterer CVEs für Cisco-Produkte, die im Mai 2026 veröffentlicht wurden.

Trend Micro Apex One: Schwachstelle von Februar 2026 wird aktiv ausgenutzt

CVE-2026-34926, das Trend Micro Apex One 2019 betrifft, wird als aktiv ausgenutzt gemeldet und wurde in die KEV-Liste der CISA aufgenommen. Trend Micro veröffentlichte im Februar 2026 einen kritischen Patch KA-0022458 für diese CVE sowie für zwei weitere kritische Schwachstellen. Der Patch verbesserte auch den Schutz vor CVE-2025-54948 (CVSS 9,8) [1] und CVE-2025-54987 (CVSS 9,8) [2], die beide Mitte 2025 in die CISA-KEV-Liste aufgenommen wurden. Am 3. März 2026 veröffentlichte der Anbieter Updates für CVE-2025-71210 (CVSS 9,8) und CVE-2025-71211 (CVSS 9,8) [3][4], die nicht authentifizierten Angreifern aus der Ferne beliebige Codeausführung auf betroffenen Installationen ermöglichen.

Die aktiv ausgenutzte CVE-2026-34926 (CVSS 6,7) ist eine Verzeichnisüberquerungsschwachstelle (CWE-23) im Apex One 2019 On-Premise-Server und in Server- und Agent-Builds unter 17079, in Apex One as a Service (SaaS) sowie in Trend Vision One Endpoint für Windows. Die Schwachstelle erlaubt einem Angreifer, eine Schlüsseltabelle auf dem Server zu ändern, bösartigen Code einzuschleusen und auf Agenten zu verteilen. Voraussetzung ist Windows-Administratorzugriff auf den Apex One-Server; eine Authentifizierung bei Apex One selbst ist nicht erforderlich.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält regelmäßige Windows-Erkennungen für Trend Micro-Sicherheitshinweise sowie zusätzliche Erkennungen für KA-0022458-CVEs, die am Tag nach ihrer Veröffentlichung im Februar 2026 verfügbar waren.

Living on the Edge: Neue Bedrohungen für IT-Peripheriegeräte

Laut dem Verizon DBIR 2026 ist die Ausnutzung von Schwachstellen die häufigste Methode, mit der Angreifer sich ersten Zugriff auf die Umgebung eines Unternehmens verschaffen. Das verdeutlicht, wie wichtig es ist, anfällige Software zu erkennen und Patches zu installieren. Die folgenden hochriskanten Bedrohungen für IT-Peripheriesysteme wurden im Mai 2026 bekannt.

Palo Alto Networks PAN-OS aktiv ausgenutzt

CVE-2026-0300 (CVSS 9,8, EPSS >= 95. Perzentil) ist eine Pufferüberlauf-Schwachstelle (CWE-787) im User-ID-Authentifizierungsportal (auch bekannt als Captive Portal) der PAN-OS-Software von Palo Alto Networks. Die Schwachstelle wird aktiv ausgenutzt und wurde in die KEV-Liste der CISA aufgenommen. Betroffen sind PAN-OS-Versionen 10.2 bis 12.1.x, darunter Firewalls der PA-Serie und VM-Serie.

Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, beliebigen Code mit Root-Rechten auf betroffenen Geräten auszuführen. Das Risiko lässt sich erheblich reduzieren, wenn der Zugriff auf vertrauenswürdige interne IP-Adressen beschränkt wird. Zahlreiche nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18]. CISA und Siemens haben zudem Warnungen für Siemens RUGGEDCOM APE1808-Geräte herausgegeben, die durch CVE-2026-0300 gefährdet sind [19][20].

Eine weitere Schwachstelle, CVE-2026-0257 (CVSS 7,8) in PAN-OS GlobalProtect, wurde nach beobachteten Ausnutzungsversuchen ebenfalls in die KEV-Liste der CISA aufgenommen. Palo Alto hat die CVE mit der höchsten Dringlichkeitsstufe bewertet. CVE-2026-0257 betrifft GlobalProtect-Portal und -Gateway und kann einem nicht authentifizierten Angreifer ermöglichen, Sicherheitsbeschränkungen zu umgehen und eine unbefugte VPN-Verbindung herzustellen.

Der OPENVAS ENTERPRISE FEED umfasst Erkennung auf Paketebene für CVE-2026-0300 [21][22] sowie eine umfangreiche Reihe von Schwachstellentests für PAN-OS.

Ivanti EPMM: Drei kritische Schwachstellen, eine davon aktiv ausgenutzt

Ivanti veröffentlichte im Mai 2026 einen Sicherheitshinweis zu neuen CVEs in Endpoint Manager Mobile (EPMM). Drei kritische Schwachstellen erlauben nicht authentifizierten Angreifern aus der Ferne, beliebige Funktionen auf der EPMM-Appliance auszulösen, sich als registrierte Sentry-Hosts auszugeben, gültige CA-signierte Client-Zertifikate zu erlangen oder ein Gerät aus einer eingeschränkten Gruppe nicht registrierter Geräte anzumelden. Die CISA hat eine separate Schwachstelle mit hohem Schweregrad, CVE-2026-6973, in ihre KEV-Liste aufgenommen. Die wichtigsten CVEs:

• CVE-2026-6973 (CVSS 7,2, EPSS >= 91. Perzentil): Unsachgemäße Eingabevalidierung (CWE-20) erlaubt einem authentifizierten Remote-Benutzer mit Administratorrechten Remote-Code-Ausführung (RCE). CISA hat diese CVE in die KEV-Liste aufgenommen.
• CVE-2026-5788 (CVSS 9,8): Unsachgemäße Zugriffskontrolle (CWE-284) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, beliebige Methoden aufzurufen.
• CVE-2026-5787 (CVSS 9,1): Unsachgemäße Zertifikatsvalidierung (CWE-295) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, sich als registrierte Sentry-Hosts auszugeben und gültige CA-signierte Client-Zertifikate zu erhalten.
• CVE-2026-7821 (CVSS 9,1): Unsachgemäße Zertifikatsvalidierung (CWE-295) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, ein Gerät aus einer eingeschränkten Gruppe nicht registrierter Geräte anzumelden. Eine Ausnutzung kann zur Offenlegung von Informationen über eine EPMM-Appliance führen und die Integrität des neu angemeldeten Geräts beeinträchtigen.

Betroffen sind EPMM-Versionen vor 12.6.1.1, 12.7.0.1 und 12.8.0.1. Für keine der CVEs sind technische Details oder PoC-Exploits öffentlich verfügbar. Ivanti EPMM wurde in den letzten Jahren mehrfach angegriffen und erscheint achtmal auf der CISA-KEV-Liste, zweimal im Zusammenhang mit Ransomware-Angriffen. Greenbone bietet umfassende Schwachstellenerkennung für Ivanti-Produkte.

Mehrere Fortinet-Produkte von kritischen Schwachstellen betroffen

Fortinet veröffentlichte im Mai 2026 mehrere Sicherheitshinweise zu FortiSandbox, FortiOS, FortiAP, FortiAnalyzer, FortiManager und FortiAuthenticator. Darunter sind zwei kritische Schwachstellen: CVE-2026-26083 in FortiSandbox und CVE-2026-44277 in FortiAuthenticator. Beide sind aus der Ferne ausnutzbar und können nicht autorisierten Code oder Befehle ausführen. Es gibt keine Hinweise auf aktive Ausnutzung oder öffentlich verfügbare PoC-Exploits.

• CVE-2026-26083 (CVSS 9,8): Fehlende Autorisierung (CWE-862) in der FortiSandbox-GUI erlaubt einem nicht authentifizierten Angreifer aus der Ferne RCE über manipulierte HTTP-Anfragen. Betroffen sind FortiSandbox 5.0 und 4.4, FortiSandbox Cloud 24, 23 und 5.0 sowie FortiSandbox PaaS in mehreren Versionen. Nationale CERT-Warnungen [1][2][3][4][5][6][7][8][9].
• CVE-2026-44277 (CVSS 9,8): Unsachgemäße Zugriffskontrolle (CWE-284) in FortiAuthenticator erlaubt einem nicht authentifizierten Angreifer, über manipulierte Anfragen nicht autorisierten Code oder Befehle auszuführen. FortiAuthenticator Cloud ist nicht betroffen. Betroffen sind FortiAuthenticator 8.0.2, 8.0.0, 6.6.0 bis 6.6.8 sowie 6.5.0 bis 6.5.6. Nationale CERT-Warnungen [10][11][12][13][14][15][16][17].

Betroffene Organisationen sollten die Patches so schnell wie möglich installieren. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung beider Schwachstellen [18][19] sowie eine dedizierte Erkennungsfamilie für Fortinet-Schwachstellen.

Neue SQL-Injection in Drupal Core mit PostgreSQL wird aktiv ausgenutzt

CVE-2026-9082 (CVSS 9,8) ist eine aktiv ausgenutzte [1][2][3] nicht authentifizierte SQL-Injection-Schwachstelle (CWE-89) in Drupal. Eine Ausnutzung kann über bösartige HTTP-Anfragen zu Rechteausweitung und RCE auf einem betroffenen Server führen. Drupal gibt in der offiziellen Sicherheitsmitteilung an, dass CVE-2026-9082 ausschließlich Instanzen mit PostgreSQL-Backend betrifft. Der Anbieter schätzt, dass rund 5 % der Installationen PostgreSQL nutzen.

Für CVE-2026-9082 ist eine vollständige technische Beschreibung mit PoC-Exploit-Code und mindestens einem weiteren PoC öffentlich verfügbar, was das Risiko erhöht. Mehrere nationale CERT-Behörden haben Warnungen herausgegeben [4][5][6][7][8][9][10][11][12][13]. Betroffen sind Drupal-Core-Versionen 8.x bis 11.3.x; Korrekturen sind in den Versionen 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10 sowie über manuelle Patches für Drupal 9.5 und 8.9 verfügbar. Der OPENVAS ENTERPRISE FEED umfasst Erkennung für Windows- und Linux-Installationen.

vm2-Projekt: Kritische Sicherheitslücken

Im Mai 2026 wurden dreizehn kritische Schwachstellen bekannt, die das vm2-Projekt betreffen. vm2 ist eine Node.js-Sandboxing-Bibliothek zum Ausführen von nicht vertrauenswürdigem JavaScript in einer isolierten Umgebung. Die betroffenen CVEs enthalten mehrere mit maximalem Schweregrad (CVSS 10). Alle Schwachstellen greifen das zentrale Sicherheitsversprechen von vm2 an: die Isolierung von nicht vertrauenswürdigem JavaScript von der zugrunde liegenden Node.js-Hostumgebung. Eine erfolgreiche Ausnutzung kann zu einem Sandbox-Ausbruch und beliebiger Code- oder Betriebssystembefehlsausführung im Kontext des Hostprozesses führen.

Die betroffenen vm2-Versionen variieren je nach CVE. Frühere Probleme wurden in den Versionen 3.10.5, 3.11.0, 3.11.1 oder 3.11.2 behoben; spätere CVEs betreffen bis einschließlich 3.11.3 und wurden in 3.11.4 gepatcht. Nutzer sollten auf 3.11.5 oder höher aktualisieren. Der OPENVAS ENTERPRISE FEED umfasst Erkennung auf Paketebene für alle neuen vm2-CVEs.

Mehrere kritische Schwachstellen in Apache-Softwareprodukten

Im Mai 2026 veröffentlichte die Apache Software Foundation 18 kritische CVEs und 28 weitere Schwachstellen mit hohem Schweregrad. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung aller in diesem Abschnitt genannten Apache-Schwachstellen und vieler weiterer.

Kritische und weitere Schwachstellen mit hohem Schweregrad im Apache HTTP Server

CVE-2026-28780 (CVSS 9,8) und CVE-2026-23918 (CVSS 8,8, EPSS >= 0,77. Perzentil) betreffen den Apache HTTP Server 2.4.66 und frühere Versionen. Beide CVEs sind Speichersicherheitsprobleme.

CVE-2026-28780 ist ein heap-basierter Pufferüberlauf (CWE-122) in mod_proxy_ajp. Für eine Ausnutzung muss der Apache-HTTP-Server über mod_proxy_ajp eine Verbindung zu einem bösartigen AJP-Server herstellen.

CVE-2026-23918 ist eine Double-Free-Schwachstelle (CWE-415) in der HTTP/2-Implementierung. Ruft ein Programm die Funktion free() zweimal mit demselben Argument auf, können Datenstrukturen beschädigt werden, was unerwartete Speicherzugriffe ermöglichen kann. Die Schwachstelle kann während eines frühen Stream-Resets ausgelöst werden und einen Denial-of-Service verursachen; je nach Laufzeitbedingungen ist auch RCE möglich. Apache empfiehlt ein Upgrade auf Apache HTTP Server 2.4.67.

Zwei neue kritische Schwachstellen in Apache MINA

CVE-2026-42778 (CVSS 9,8) und CVE-2026-42779 (CVSS 9,8) sind kritische Deserialisierungsschwachstellen in Apache MINA. Sie können betroffene Anwendungen für nicht authentifizierte RCE anfällig machen, wenn diese Apache MINA zur Deserialisierung von Client-seitig bereitgestellten Java-Klassen nutzen. Beide CVEs betreffen die Zweige Apache MINA 2.1.x und 2.2.x und gehen auf unvollständige oder nicht angewendete Korrekturen früherer Deserialisierungsprobleme zurück.

Drei kritische Schwachstellen in Apache OFBiz

CVE-2026-45434 (CVSS 9,8), CVE-2026-41919 (CVSS 9,1) und CVE-2026-31986 (CVSS 9,1) betreffen Apache OFBiz-Versionen vor 24.09.06 und können betroffene ERP-Bereitstellungen je nach Konfiguration und Angriffspfad für Authentifizierungsumgehung, unbefugten Zugriff oder Codeausführung anfällig machen. CVE-2026-45434 ist das größte Risiko: Die Schwachstelle liegt in einer fehlerhaften Authentifizierungslogik bei der Passwortänderung und kann zu nicht authentifizierter RCE führen.

Drei kritische Schwachstellen in Apache Tomcat

CVE-2026-43512 (CVSS 9,8), CVE-2026-41293 (CVSS 9,8) und CVE-2026-43515 (CVSS 9,1) betreffen Apache Tomcat und können je nach Konfiguration zu Authentifizierungsumgehung oder Autorisierungsfehlern führen.

CVE-2026-43512 betrifft Bereitstellungen mit DIGEST-Authentifizierung und erlaubt es unter bestimmten Bedingungen, sich mit einem ungültigen Passwort zu authentifizieren. CVE-2026-41293 entsteht durch fehlerhafte Validierung von HTTP/2-Anfrage-Headern, die unsicheres Downstream-Verhalten auslösen können. CVE-2026-43515 ist eine fehlerhafte Autorisierung bei überlappenden HTTP-Methodenbeschränkungen, die unbefugten Zugriff auf geschützte Ressourcen ermöglichen kann. Nutzer sollten auf Tomcat 11.0.22, 10.1.55 oder 9.0.118 aktualisieren.

Zwei kritische Schwachstellen in Apache Camel

CVE-2026-47323 (CVSS 9,8) ist eine kritische Schwachstelle im Apache Camel-Integrationsframework, die Nachrichten-Header-Injektion und Anfrageweiterleitungen betrifft. Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, Camel-interne Header (z. B. CamelExecCommandExecutable und CamelFileName) über HTTP-Anfragen an CXF-RS- oder CXF-SOAP-Endpunkte einzuschleusen.

Langflow wird aktiv ausgenutzt: fünf weitere kritische Schwachstellen seit Anfang 2026

Langflow ist eine Python-basierte Open-Source-Plattform für Low-Code-Entwicklung und Bereitstellung von KI-Anwendungen, Agenten und Workflows. IBM berichtet, dass Zehntausende von Entwicklern sie für generative KI einsetzen. Im Mai 2026 wurde CVE-2025-34291 (CVSS 8,8) als aktiv ausgenutzt gemeldet und in die KEV-Liste der CISA aufgenommen. Seit Anfang 2026 wurden fünf weitere kritische CVEs in Langflow bekannt:

• CVE-2025-34291 (CVSS 8,8, EPSS >= 97. Perzentil): Eine verkettete Schwachstelle durch zu freizügiges Cross-Origin-Verhalten (CWE-346) in Kombination mit fehlerhafter Sitzungs-/Token-Verarbeitung kann Kontoübernahme und RCE ermöglichen, wenn ein authentifizierter Benutzer eine vom Angreifer kontrollierte Webseite besucht.
• CVE-2026-33017 (CVSS 9,8): Nicht authentifizierte RCE über den öffentlichen temporären Flow-Build-Endpunkt. Vom Angreifer bereitgestellte Flow-Daten werden ohne angemessenes Sandboxing als ausführbarer Python-Code verarbeitet.
• CVE-2026-21445 (CVSS 9,1): Fehlende Authentifizierung (CWE-306) bei bestimmten kritischen API-Endpunkten erlaubt nicht authentifizierten Angreifern den Zugriff auf sensible Benutzerdaten, Konversations- und Transaktionsaufzeichnungen sowie destruktive Operationen wie das Löschen von Nachrichten.
• CVE-2026-33309 (CVSS 9,9): Umgehung eines früheren Patches zur Dateinamenskontrolle in der LocalStorageService-Schicht ermöglicht beliebiges Dateischreibverhalten (CWE-22) über die v2-API, was potenziell zu RCE führen kann.
• CVE-2026-27966 (CVSS 9,8): Der CSV-Agent-Knoten legte sensible Python-REPL-Funktionalität offen, durch die Angreifer über Prompt-Injection beliebige Python- oder Betriebssystembefehle ausführen konnten.
• CVE-2026-42048 (CVSS 9,6): Eine Path-Traversal-Schwachstelle (CWE-22) in der Knowledge Bases API erlaubt einem authentifizierten Angreifer, beliebige Verzeichnisse auf dem Server zu löschen. Unsichere Wissensdatenbanknamen werden ohne Begrenzungsprüfung zu Dateisystempfaden verkettet.

Zusammenfassung

Mythos und andere KI-Coding-Modelle haben erkennbare Auswirkungen auf die Anzahl neu bekannt gewordener Schwachstellen in wichtiger Unternehmenssoftware. Dieselbe Technologie senkt auch die Hürde für Angreifer, Exploits zu entwickeln.

Sicherheitsverantwortliche sollten kontinuierliches Schwachstellenmanagement und Audit-Maßnahmen einsetzen, um das Risiko zu reduzieren. OPENVAS SCAN und der OPENVAS ENTERPRISE FEED bieten branchenführende Schwachstellenabdeckung. Greenbone erstellt monatlich Tausende neuer Schwachstellentests für Unternehmenssoftware, IT-Netzwerkprodukte, Betriebssysteme, Browser, Linux-Pakete, Produktivitätswerkzeuge, agentenbasierte KI-Tools und mehr. Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen einleiten möchten, können Greenbones Einstiegsprodukt OPENVAS BASIC kostenlos testen, inklusive einer zweiwöchigen Testversion des ENTERPRISE FEED.