Anfang April gab Cisco zwei CVEs mit kritischem Schweregrad sowie weitere Schwachstellen mit hohem und mittlerem Schweregrad bekannt. Insgesamt ermöglichen die Schwachstellen eine Umgehung der Authentifizierung, Rechteausweitung auf ein Adminkonto, die Ausführung von Remote-Code (RCE) ohne Authentifizierung mit Root-Rechten, die Offenlegung von Informationen sowie Denial-of-Service-Zustände. Bei den beiden kritischen Schwachstellen handelt es sich um CVE-2026-20160 (CVSS 9,8), die Cisco Smart Software Manager On-Prem (SSM On-Prem) betrifft, und CVE-2026-20093 (CVSS 9,8), die Cisco Integrated Management Controller (IMC) betrifft.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält seit der Bekanntgabe der Schwachstellen die Erkennung von CVE-2026-20160 und CVE-2026-20093 und hilft Sicherheitsverantwortlichen so, diese sich entwickelnden Bedrohungen abzuwehren. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und sich davor schützen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

Cisco SSM & IMC Schwachstellen

CVE-2026-20160 und CVE-2026-20093 stellen erhebliche Bedrohungen für die Unternehmens-IT dar. Obwohl SSM On-Prem und IMC interne Netzwerkdienste sind, die nicht für die Öffentlichkeit bestimmt sind, könnten diese CVEs Angreifenden, die sich bereits heimlich Zugang verschafft haben, die Möglichkeit bieten, sich lateral zu wertvollen Assets zu bewegen.

Cisco IMC birgt ein besonders hohes Risiko, da es in physische Server- und Edge-Plattformen eingebettet ist, die sich oft in der Nähe der zentralen Unternehmens-Workloads befinden. Mit erreichtem Adminzugriff können Angreifende möglicherweise Dienste stören, in benachbarte Netzwerke vordringen oder das kompromittierte Gerät als Ausgangspunkt nutzen, um sensible interne Systeme anzugreifen. Wenn ein Zielnetzwerk nicht streng nach Abteilungen segmentiert ist oder wenn Zugriffskontrollen nicht streng nach dem Prinzip der geringsten Berechtigungen eingeschränkt sind, erhöht sich das Risiko zusätzlich.

Werfen wir nun einen Blick auf die beiden neuen kritischen CVEs mit und anschließend einige weitere CVEs, die Anfang April 2026 veröffentlicht wurden.

CVE-2026-20160 (CVSS 9.8): Unauthentifizierte RCE in Cisco SSM On-Prem

Ein offengelegter interner Dienst ermöglicht es nicht authentifizierten Angreifenden, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. CVE-2026-20160 kann über HTTP-Anfragen an die API des offengelegten Dienstes ausgenutzt werden. Die Schwachstelle ist im Wesentlichen eine unsachgemäße Zugriffskontrolle, die Cisco als „Exposure of Resource to Wrong Sphere“ [CWE-668] klassifiziert hat. Betroffen sind die Versionen 9-202502 bis 9-202510 von Cisco Smart Software Manager On-Prem (SSM On-Prem).

Cisco SSM On-Prem ist ein lokal installierter Server zur Softwarelizenzverwaltung, der als virtuelle Maschine bereitgestellt wird. SSM On-Prem stellt eine Web-Benutzeroberfläche auf Port 8443 für Verwaltungs- und Lizenzierungsabläufe bereit. SSM On-Prem fungiert als lokaler Smart Licensing Manager für Cisco-Produkte, anstatt dass diese eine direkte Verbindung zum cloudbasierten Smart Software Manager von Cisco herstellen müssen.

Zu CVE-2026-20160 wurden mehrere nationale CERT-Hinweise veröffentlicht [1][2][3][4][5][6][7][8]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung zur Identifizierung betroffener Instanzen [9]. Es wird empfohlen, auf Version 9-202601 oder höher zu aktualisieren. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

CVE-2026-20093 (CVSS 9.8): Authentifizierungsumgehung im Cisco IMC

Eine unsachgemäße Eingabevalidierung [CWE-20] kann bei Passwortänderungsanfragen an den IMC zu einer Umgehung der Authentifizierung führen. Angreifende könnten diese Schwachstelle aus der Ferne über HTTP-Anfragen ausnutzen, um die Passwörter beliebiger Konten im System (einschließlich des Adminkontos) zu ändern und sich damit Zugriff auf das System zu verschaffen.

Cisco IMC ist ein eingebetteter Baseboard Management Controller (BMC), der in Cisco UCS-Rack- und Speicherserverplattformen integriert ist. Die Kernfunktion von Cisco IMC ist die Out-of-Band-Serververwaltung physischer Server, wenn diese im Standalone-Modus über den Redfish-RESTful-API-Standard, SNMP, IPMI v2.0 oder die Cisco IMC XML-API betrieben werden. Mehrere physische Serverprodukte von Cisco sind betroffen, sofern sie den Cisco Integrated Management Controller (IMC) enthalten:

• Enterprise Network Compute Systems (ENCS) der Serie 5000
• Catalyst 8300 Series Edge uCPE
• UCS C-Serie M5- und M6-Rack-Server im Standalone-Modus
• UCS-Server der E-Serie M3
• UCS-Server der E-Serie M6

Zu CVE-2026-20093 wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung [9] und eine Remote-Banner-Versionsprüfung [10] für Geräte, die von CVE-2026-20093 betroffen sind. Weitere Informationen, einschließlich einer Liste der behobenen Versionen für betroffene Produkte, finden Sie in der offiziellen Sicherheitswarnung von Cisco.

Weitere Cisco-Schwachstellen: Hoher und mittlerer Schweregrad

Cisco hat außerdem mehrere Schwachstellen mit hohem und mittlerem Schweregrad offengelegt, die das Risiko für Unternehmenskundschaft erhöhen. Zwar erfordern alle unten aufgeführten CVEs einen gültigen Kontozugang, um ausgenutzt zu werden, doch ist der Diebstahl von Anmeldedaten eine gängige Taktik, die bei vielen raffinierten Cyberangriffen zum Einsatz kommt. Wenn diese Schwachstellen nicht gepatcht werden, könnten sie dennoch zur Ausführung von Befehlen, zur Rechteausweitung, zu Denial-of-Service-Angriffen oder zur Offenlegung sensibler Informationen führen.

• CVE-2026-20094 (CVSS 8.8): Eine Sicherheitslücke durch Befehlsinjektion aufgrund einer unzureichenden Validierung von Benutzereingaben [CWE-77] ermöglicht es authentifizierten Angreifenden aus der Ferne mit Lesezugriff, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. Die Sicherheitslücke kann über HTTP-Anfragen ausgenutzt werden. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20155 (CVSS 8.0): Unsachgemäße Autorisierungsprüfungen [CWE-862] an einem API-Endpunkt ermöglichen es authentifizierten Angreifenden aus der Ferne mit geringen Berechtigungen, ohne Autorisierung auf sensible Informationen zuzugreifen. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle von Cisco Evolved Programmable Network Manager (EPNM)-Geräten vor Version 8.1.2 für alle Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20151 (CVSS 7.3): Aufgrund der unsachgemäßen Übertragung sensibler Benutzerinformationen [CWE-201] können Angreifende Sitzungsanmeldedaten aus Statusmeldungen abrufen, um ihre Berechtigungen von einem Konto mit geringen Berechtigungen auf Administratorrechte zu erhö Betroffen sind SSM On-Prem Version 9-202510 und frühere Versionen in allen Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20095 (CVSS 6.5): Aufgrund einer unsachgemäßen Validierung von Benutzereingaben können authentifizierte Remote-Nutzende beliebigen Code oder Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem eines betroffenen Systems ausführen und seine Berechtigungen erweitern. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20096 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS der Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20097 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20110 (CVSS 6.5): Eine Schwachstelle in der CLI der Cisco IOS XE-Software könnte es authentifizierten lokalen Angreifenden ermöglichen, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Diese Schwachstelle besteht, weil dem Befehl „start maintenance“ falsche Berechtigungen zugewiesen sind. Alle Versionen der Cisco IOS XE-Software sind betroffen, sofern der Befehl „start maintenance“ unterstützt wird. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

Cisco hat den CVEs 2026-20095, 2026-20096 und 2026-20097 eine Sicherheitsauswirkungsbewertung (SIR) von „Hoch“ zugewiesen, was über ihrer CVSS-Einstufung von „Mittel“ liegt, da zusätzliche Sicherheitsauswirkungen bestehen, wenn Root-Zugriff erlangt wird. Der OPENVAS ENTERPRISE FEED enthält Erkennungstests für alle oben genannten CVEs [1][2][3][4][5].

Zusammenfassung

Die Sicherheitsmitteilungen von Cisco von Anfang April 2026 weisen auf ein erhöhtes Risiko bei mehreren Produkten hin. Dazu gehören der SSM On-Prem-Lizenzverwaltungsserver des Anbieters und der Cisco Integrated Management Controller (IMC), was eine Vielzahl physischer Hardwareprodukte betrifft, darunter Cisco UCS-Rack- und Speicherserverplattformen. Die schwerwiegendsten neuen Schwachstellen ermöglichen eine Umgehung der Authentifizierung und unauthentifizierte RCE mit Root-Rechten.

Obwohl eine öffentliche Ausnutzung noch nicht bestätigt wurde, handelt es sich bei den betroffenen Systemen um hochwertige interne Ressourcen, die attraktive Ziele für fortgeschrittene persistente Bedrohungsakteure (APT) darstellen. Unternehmen sollten prüfen, ob sie diesen und anderen Software-Schwachstellen ausgesetzt sind, und der Installation von Patches Priorität einräumen. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

In diesem Monat wurden neue Cybersicherheitsrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen aufgedeckt. Neue kritische Sicherheitslücken traten in Peripherie-Netzwerkgeräten und Kernnetzwerkgeräten auf. Zu den weiteren Risiken zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, Kernkomponenten von Betriebssystemen und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

März 2026 Threat Report

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

CitrixBleed 3 (CVE-2026-3055): Memory-Disclosure-Angriff auf Citrix NetScaler ohne Authentifizierung

CVE-2026-3055 (CVSS 9.3) ist eine Speicheroffenlegungsschwachstelle, die aus der Ferne und ohne Authentifizierung ausgenutzt werden kann. Die Ursache ist eine unzureichende Eingabevalidierung, die einen Speicherzugriff außerhalb des zulässigen Bereichs ermöglicht [CWE-125]. Die Schwachstelle betrifft NetScaler ADC- und NetScaler Gateway-Appliances, die als SAML-Identitätsanbieter (IDP) konfiguriert sind, was Berichten zufolge eine gängige Single-Sign-On-Konfiguration (SSO) ist.

Drei Tage nach der Offenlegung wurde von aktiven Erkundungsversuchen nach Authentifizierungsmethoden im Endpunkt /cgi/GetAuthMethods berichtet. Am 30. März wurde CVE-2026-3055 in die KEV-Liste der CISA aufgenommen und von anderen Quellen als aktiv ausgenutzt gemeldet. Eine vollständige technische Analyse mit Exploit-Code wurde veröffentlicht. Die Schwachstelle ähnelt früheren Speicherleck-Schwachstellen, die Netscaler ADC und Gateway betreffen und als CitrixBleed und CitrixBleed 2 bezeichnet werden, deren Nutzung für den Erstzugriff gut dokumentiert ist [1][2][3][4]. Mehrere nationale Cybersicherheitsbehörden haben Warnungen zu den neuen CVEs herausgegeben [5][6][7][8][9][10][11][12][13][14][15][16][17][18].

Citrix meldete in demselben Bericht eine weitere Schwachstelle mit hohem Schweregrad. CVE-2026-4368 (CVSS 7.7) ist ein Race-Condition-Fehler, der bei Gateway- oder AAA-Virtual-Server-Konfigurationen zu einer Verwechslung von Benutzersitzungen führen kann. Weitere Informationen, einschließlich der betroffenen Versionen für beide neuen CVEs, finden Sie im offiziellen Sicherheitshinweis. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung zur Identifizierung von Appliances, die potenziell anfällig für CVE-2026-3055 [19] sind, sowie eine ähnliche Prüfung für CVE-2026-4368 [20].

Microsoft SharePoint RCE (CVE-2026-20963) aktiv ausgenutzt – RegPwn und weitere kritische Windows-Schwachstellen

CVE-2026-20963 (CVSS 8,8, EPSS ≥ 91. Perzentil), das Microsoft SharePoint betrifft und im Januar 2026 veröffentlicht wurde, wurde im März in die KEV-Liste der CISA aufgenommen. Die Schwachstelle wird durch eine unsachgemäße Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] verursacht und könnte authentifizierten Angreifenden die Ausführung von beliebigem Remote-Code (RCE) ermöglichen. Die Schwachstelle erregte weltweit Aufmerksamkeit bei nationalen CERT-Behörden [1][2][3][4][5][6][7][8][9][10][11]. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung für Microsoft SharePoint Server 2019 und Microsoft SharePoint Enterprise Server 2016 [12][13].

Weitere schwerwiegende Risiken, die Microsoft-Produkte im März 2026 betreffen, sind:

• CVE-2026-24291 (CVSS 7.8): Eine fehlerhafte Berechtigungszuweisung für eine kritische Ressource [CWE-732] in der Windows Accessibility Infrastructure (ATBroker.exe) ermöglicht es autorisierten lokalen Angreifenden, Berechtigungen zu erweitern und Windows-Registrierungsschlüssel zu ändern. Unter dem Namen „RegPwn“ sind vollständige technische Beschreibungen [14][15] und Proof-of-Concept-Exploit-Code öffentlich verfügbar, was das Risiko erhöht. Der OPENVAS ENTERPRISE FEED umfasst Registrierungsprüfungen zur Erkennung von Schwachstellen in allen Windows-Betriebssystemversionen.
• CVE-2026-26110 (CVSS 7.8): Eine Schwachstelle durch Typverwechslung [CWE-843] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung der Paketversion für Windows- und macOS-Versionen von Microsoft Office [16][17].
• CVE-2026-26113 (CVSS 7.8): Eine Sicherheitslücke durch Dereferenzierung eines nicht vertrauenswürdigen Zeigers [CWE-822] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von Paketversionen für Windows- und macOS-Versionen von Microsoft Office [16][17] sowie SharePoint für Windows [18][19].

Langflow KI-Plattform: Unauthentifizierte Remote Code Execution via API (CVE-2026-33017, CVSS 9.8)

CVE-2026-33017 (CVSS 9,8, EPSS ≥ 90. Perzentil) ist eine Schwachstelle für unauthentifizierten RCE, die über böswillige HTTP-Anfragen ausgenutzt werden kann. Die CVE betrifft alle netzwerkseitig exponierten Langflow-Instanzen vor Version 1.9.0. CVE-2026-33017 wurde von mehreren Quellen als aktiv ausgenutzt gemeldet [1][2]. Es liegen mehrere technische Analysen [2][3][4] und öffentliche PoC-Exploits [3] vor, was das Risiko erhöht. Weltweit wurden mehrere CERT-Warnungen herausgegeben [5][6][7][8][9].

Langflow ist eine Open-Source-„Low-Code“-Plattform zum Erstellen, Testen und Bereitstellen von agentenbasierten KI- und LLM-fähigen Workflows. Die Schwachstelle besteht im API-Endpunkt von Langflow zum Erstellen öffentlicher Flows. Der Endpunkt POST /api/v1/build_public_tmp/{flow_id}/flow ermöglicht es von Haus aus, öffentliche Flows ohne Authentifizierung zu erstellen. In der offiziellen Langflow-API-Dokumentation heißt es, dass „Build Public Tmp“ nur für Workflows funktioniert, die in der Datenbank als öffentlich markiert sind. Die Schwachstelle tritt auf, wenn der optionale Datenparameter übergeben wird: Langflow verwendet dann einen böswillig kontrollierten Flow-Code, der beliebigen Python-Code enthalten kann, anstatt den in der Datenbank gespeicherten Code. Dieser Code wird ohne Sandboxing an exec() übergeben, was zu unauthentifiziertem RCE führt.

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung anfälliger Langflow-Instanzen. Nutzende sollten auf Version 1.9.0 aktualisieren.

Netzwerkperimeter unter Beschuss: Kritische Schwachstellen in Firewall- und Edge-Geräten (März 2026)

Die Ausnutzung von Perimeter-Netzwerkgeräten wird durchweg als einer der wichtigsten Erstzugriffsvektoren bei Cyberangriffen eingestuft. Es werden ständig neue Schwachstellen veröffentlicht, die wichtige Perimeter-Geräte betreffen, und Verteidiger müssen in der Lage sein, diese exponierten Einstiegspunkte zuverlässig zu erkennen und zu patchen. Hier sind einige hochriskante Schwachstellen, die Perimeter-Netzwerkgeräte betreffen und im März 2026 aufgetreten sind:

CVE-2026-20131 (CVSS 10): Aktiv ausgenutzte RCE-Schwachstelle im Cisco Firewall Management Center

Cisco veröffentlichte eine Gruppe von 48 CVEs, die seine Firewall-Produktlinie betreffen, darunter zwei kritische CVSS-10-Schwachstellen. Eine davon, CVE-2026-20131, wurde bald in die KEV-Liste der CISA aufgenommen. Eine aktive Ausnutzung wurde ebenfalls von Cisco bestätigt. Ransomware-Angriffe, die CVE-2026-20131 ausnutzen, wurden dem Bedrohungsakteur „Interlock“ zugeschrieben. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14].

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Erkennungstests für alle 48 CVEs, die in der Sicherheitswarnung von Cisco offengelegt wurden, sowie eine Reihe von Tests, die speziell auf Sicherheitslücken in Cisco-Software ausgerichtet sind. Es wird empfohlen, betroffene Produkte im Netzwerk zu identifizieren, Patches unverzüglich zu installieren und Sicherheitslückenbewertungen durchzuführen, indem nach Indikatoren für Kompromittierung (IoCs) gesucht wird [15]. Die CVEs mit dem höchsten Risiko aus dieser Gruppe werden im Folgenden beschrieben:

• CVE-2026-20131 (CVSS 10, EPSS 71. Perzentil): Eine unsichere Deserialisierung [CWE-502] eines vom User bereitgestellten Java-Byte-Stroms ermöglicht eine nicht authentifizierte Java-RCE mit Root-Rechten. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle des Cisco Secure Firewall Management Center (FMC). Ist die FMC-Verwaltungsschnittstelle nicht über das Internet erreichbar, verringert sich die Angriffsfläche erheblich.
• CVE-2026-20079 (CVSS 10, EPSS 90. Perzentil): Beim Systemstart wird ein fehlerhafter Systemprozess erstellt, der es Angreifenden aus der Ferne ermöglicht, die Authentifizierung [CWE-288] über manipulierte HTTP-Anfragen zu umgehen und Skriptdateien auszuführen. Dies macht es möglich, Root-Rechte auf dem zugrunde liegenden Betriebssystem zu erlangen. Eine vollständige technische Analyse und PoC-Exploit-Code sind öffentlich verfügbar, was das Risiko erhöht. CVE-2026-20079 betrifft die Weboberfläche von Cisco Secure FMC.

Ubiquiti UniFi Network Application: Kritische Sicherheitslücke erlaubt Kontoübernahme ohne Authentifizierung (CVE-2026-22557)

CVE-2026-22557 (CVSS 10) ermöglicht eine unbefugte Kontoübernahme durch eine Path-Traversal-Schwachstelle [CWE-22], die es Angreifenden erlaubt, Dateien auf dem zugrunde liegenden System zu manipulieren. Öffentliche technische Details sind verfügbar, und Forschende schätzen, dass eine automatisierte Ausnutzung trivial ist. Das Risiko ist zudem erhöht, da Ubiquiti-Netzwerkprodukte weit verbreitet sind. Mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5].

Eine weitere CVE, die im selben Hersteller-Hinweis veröffentlicht wurde, birgt ein zusätzliches hohes Risiko:

• CVE-2026-22559 (CVSS 8.8): Eine Schwachstelle bei der Eingabevalidierung, die über Social Engineering ausgenutzt werden kann, wenn ein Schadakteur das Opfer mit Netzwerkzugriff auf eine Webschnittstelle der Ubiquiti UniFi Network Application dazu verleiten kann, auf einen bösartigen Link zu klicken.

CVE-2026-22557 betrifft die Ubiquiti UniFi Network Application Version 10.1.85 und früher, Release Candidate 10.2.93 und früher sowie UniFi Express Version 9.0.114 und früher. OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Instanzen. Anweisungen zur Behebung beider oben genannter CVEs sind im offiziellen Sicherheitshinweis des Herstellers verfügbar.

Weitere kritische Schwachstellen in Perimeter-Geräten: F5 BIG-IP, Juniper Junos OS und HPE Aruba (März 2026)

Zu den weiteren aufkommenden Bedrohungen für Perimeter-Netzwerkgeräte im März 2026 gehören:

F5 BIG-IP APM-Zugriffsrichtlinie

CVE-2025-53521 (CVSS 7.5) ist eine aktiv ausgenutzte Schwachstelle, die es Angreifenden ermöglicht, einen Denial-of-Service-Angriff (DoS) auf F5 BIG-IP auszulösen, wenn eine APM-Zugriffsrichtlinie auf einem virtuellen Server konfiguriert ist. Nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14]. Der OPENVAS ENTERPRISE FEED bietet Erkennung auf Paketebene für CVE-2025-53521 sowie eine spezielle Familie von F5-Sicherheitsprüfungen.

Juniper Networks Junos OS Evolved auf der PTX-Serie

CVE-2026-21902 (CVSS 9,8) ist eine Schwachstelle durch falsche Berechtigungszuweisung für kritische Ressourcen [CWE-732], die unauthentifizierten RCE als Root ermöglicht. CVE-2026-21902 betrifft das On-Box-Anomalieerkennungs-Framework von Juniper Networks Junos OS Evolved auf der PTX-Serie. Das On-Box-Framework zur Erkennung von Anomalien ist standardmäßig aktiviert. Diese Schwachstelle betrifft alle Versionen der PTX-Serie 25.4 vor 25.4R1-S1-EVO und 25.4R2-EVO. Dieses Problem betrifft keine Versionen von Junos OS Evolved vor 25.4R1-EVO oder Junos OS. Eine detaillierte technische Beschreibung ist öffentlich verfügbar, was die Entwicklung von Exploits erleichtert. Zahlreiche nationale CERT-Behörden haben Warnmeldungen veröffentlicht [1][2][3][4][5][6][7][8][9][10][11]. Eine aktive Überprüfung und eine Remote-Banner-Prüfung sind im OPENVAS ENTERPRISE FEED sowie in einer speziellen Reihe von authentifizierten Sicherheitsprüfungen für JunOS verfügbar. Weitere Informationen finden Sie im offiziellen Advisory des Herstellers.

HPE Aruba AOS-CX: Kritische Authentifizierungslücke (CVE-2026-23813, CVSS 9.8) und vier weitere Schwachstellen

Hewlett-Packard Enterprise (HPE) veröffentlichte am 10. März einen Sicherheitshinweis, in dem ein kritischer und drei hochgradig schwerwiegende CVEs in ihren Aruba-Netzwerk-Switches vom Typ AOS-CX offengelegt wurden. Weltweit wurden mehrere nationale CERT-Sicherheitshinweise zu dieser Gruppe von Sicherheitslücken herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung für alle in der Sicherheitsmitteilung offengelegten CVEs, die im Folgenden beschrieben werden. Nutzenden wird dringend empfohlen, alle anfälligen AOS-CX-Geräte in ihrer Umgebung zu identifizieren und auf die neueste Version zu aktualisieren.

• CVE-2026-23813 (CVSS 9.8): Eine Schwachstelle bei der Authentifizierung [CWE-287] in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches ermöglicht es nicht authentifizierten Angreifenden aus der Ferne, bestehende Authentifizierungskontrollen zu umgehen, einschließlich des Zurücksetzens des Admin-Passworts.
• CVE-2026-23814 (CVSS 8.8): Eine Schwachstelle durch Befehlsinjektion [CWE-77], die die Parameter bestimmter Befehle der AOS-CX-Befehlszeilenschnittstelle (CLI) betrifft, könnte es authentifizierten Remote-Angreifenden mit geringen Berechtigungen ermöglichen, bösartige Befehle einzuschleusen.
• CVE-2026-23815 (CVSS 7.2): Eine Schwachstelle durch Befehlsinjektion [CWE-77] in einer userdefinierten Binärdatei, die in der AOS-CX-CLI verwendet wird, könnte es authentifizierten Angreifenden mit hohen Berechtigungen ermöglichen, nicht autorisierte Befehle auszuführen.
• CVE-2026-23816 (CVSS 7.2): Eine Schwachstelle für Befehlsinjektion [CWE-77] in der Befehlszeilenschnittstelle von AOS-CX-Switches könnte es authentifizierten Angreifenden aus der Ferne ermöglichen, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen.
• CVE-2026-23817 (CVSS 6.5): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches könnte es nicht authentifizierten Angreifenden aus der Ferne ermöglichen, User auf eine beliebige URL umzuleiten [CWE-601].

Shadow-IT-Risiko: OpenClaw KI-Agent (ehemals Clawd/Moltbot) mit über 200 CVEs – Sicherheitswarnung für Unternehmen

OpenClaw (früher Clawd und Moltbot) ist ein Open-Source-Agent-KI-Assistent, der im Auftrag eines menschlichen Nutzenden Aufgaben auf Systemebene ausführen kann. Zu den Funktionen von OpenClaw gehören das Versenden von E-Mails, das Lesen und Schreiben von Dateien sowie die Interaktion mit Webdiensten und APIs. Die Software wurde ursprünglich im November 2025 als Clawd veröffentlicht, Anfang 2026 in Moltbot umbenannt und anschließend erneut in OpenClaw umbenannt [1].

Trotz der steigenden Beliebtheit von OpenClaw war die Kritik seitens der Sicherheitsgemeinschaft heftig [2][3][4][5]. Das deutsche BSI listete über 60 Schwachstellen auf, und seit seiner Veröffentlichung wurden über 200 CVEs für den beliebten, aber instabilen KI-Agenten veröffentlicht, darunter 32 CVEs mit kritischem Schweregrad, die allein im März 2026 veröffentlicht wurden. Die schwerwiegendsten dieser Schwachstellen ermöglichen unauthentifizierten RCE im OpenClaw-Kontext. Für das Produkt wurden nationale CERT-Warnungen herausgegeben [1][2][3].

Angesichts der operativen Risiken hinsichtlich unbefugten Zugriffs und Datensicherheit, die OpenClaw für Unternehmen darstellt, sollte seine Nutzung untersagt werden. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von OpenClaw sowohl aus der Ferne als auch lokal nach Authentifizierung. Sicherheitsteams können Warnmeldungen einrichten, um benachrichtigt zu werden, wenn OpenClaw in ihrem Netzwerk erkannt wird.

Nicht authentifizierte RCE in Wazuh Manager über Worker-Knoten im Cluster-Modus

CVE-2026-25769 (CVSS 9.1) ist ein RCE, der es autorisierten Angreifenden mit Zugriff auf einen Cluster-Worker-Knoten ermöglicht, Code auf dem Master-Knoten als Root auszuführen. Die Ursache ist eine fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502]. Das Risiko ist erhöht, da eine erfolgreiche Kompromittierung eines beliebigen Workers im Cluster-Modus zu einer vollständigen Kompromittierung des Master-Knotens auf Root-Ebene führen kann. Eine vollständige technische Analyse und ein PoC-Exploit-Kit sind für CVE-2026-25769 öffentlich verfügbar, was die Hürde für Angriffe senkt. Mehrere nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3].

In der Offenlegung von Wazuh wurden fünf weitere CVEs aufgeführt, darunter eine weitere Schwachstelle mit kritischem Schweregrad: CVE-2025-30201 (CVSS 9.1) ermöglicht es authentifizierten Angreifenden, über bösartige UNC-Pfade und mithilfe von Agent-Konfigurationseinstellungen eine NTLM-Authentifizierung zu erzwingen, was potenziell zu NTLM-Relay-Angriffen [CWE-294] zur Rechteausweitung und zur Ausführung von Remote-Code führen kann. Technische Details und ein PoC-Exploit sind online öffentlich verfügbar.

Die neu offengelegten CVEs betreffen verschiedene Versionsbereiche von Wazuh Manager, erfordern jedoch alle ein Patch auf Version 4.14.3 oder höher. Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für frühere Schwachstellen, die Wazuh betreffen. Nutzende sollten die Sicherheitshinweise von Wazuh lesen, um spezifische Details zu jeder Schwachstelle zu erhalten.

Kritische n8n-Schwachstellen: Authentifizierte Nutzer können Host vollständig kompromittieren (CVE-2026-27495 u.a.)

In den letzten Monaten wurden zahlreiche kritische und hochgradige Schwachstellen in der beliebten agentenbasierten Workflow-Plattform n8n aufgedeckt. Angreifende beginnen, diese auszunutzen; am 11. März 2026 wurde CVE-2025-68613 (CVSS 8.8) in die KEV-Liste der CISA aufgenommen. CVE-2025-68613 und andere n8n-Schwachstellen wurden in Teil 2 des Bedrohungsberichts vom Januar 2026 behandelt.

Die fehlerhafte Auswertung von Ausdrücken ist eine häufige Ursache für Sicherheitslücken. n8n-Ausdrücke sind speziell formatierte Zeichenfolgen, die unter anderem die dynamische Manipulation von Daten für Batch-Verarbeitungsaufgaben ermöglichen. Zu den CVEs mit dem höchsten Risiko, die n8n betreffen und im März 2026 bekannt wurden, gehören:

• CVE-2026-27495 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können eine Schwachstelle im JavaScript Task Runner ausnutzen, um beliebigen Code außerhalb der Sandbox-Grenzen auszuführen. Auf Instanzen, die die standardmäßigen internen Task Runner verwenden, könnte dies zu einer vollständigen Kompromittierung des n8n-Hosts führen. Die Ausnutzbarkeit hängt davon ab, dass die Task Runner mit der Einstellung N8N_RUNNERS_ENABLED=true aktiviert sind.
• CVE-2026-27577 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können manipulierte Ausdrucksparameter missbrauchen, um eine unbeabsichtigte Befehlsausführung auf dem n8n-Host auszulösen. Diese Schwachstelle ermöglicht die Umgehung von Sicherheitsmaßnahmen, die zur Einschränkung der Befehlsausführungsmöglichkeiten eingerichtet wurden.
• CVE-2026-33696 (CVSS 8.8): Authentifizierte User mit Workflow-Berechtigungen können eine Prototype-Pollution-Schwachstelle in den XML- und GSuiteAdmin-Knoten ausnutzen. Durch die Angabe manipulierter Parameter als Teil der Knotenkonfiguration könnten Unbefugte Werte in `Object.prototype` schreiben und RCE erreichen.
• CVE-2026-33660 (CVSS 9.4): Authentifizierte User mit Workflow-Berechtigungen können den Modus „Combine by SQL“ des Merge-Knotens nutzen, um lokale Dateien auf dem n8n-Host auszulesen und RCE zu erlangen.

Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für andere bekannte n8n-Schwachstellen. Jede Schwachstelle betrifft verschiedene v1.x- und v2.x-Instanzen von n8n. In vielen Fällen können Systemadmins, wenn Patches nicht sofort angewendet werden können, betroffene Knoten mithilfe der Umgebungsvariable NODES_EXCLUDE deaktivieren. Es gibt jedoch keine Workarounds, die eine vollständige Abhilfe für eine der CVEs bieten. Die Abhilfe besteht in der Aktualisierung auf die neueste Version von n8n. Eine vollständige Liste der Schwachstellen mit Beschreibungen finden Sie in den Sicherheitshinweisen von n8n.

Weitere kritische CVEs März 2026: ScreenConnect, Nginx UI, Apache ActiveMQ, Ivanti und FortiClientEMS

Lassen Sie uns den Bedrohungsbericht dieses Monats mit einem kurzen Überblick über weitere im März 2026 aufgetretene Bedrohungen abschließen:

CVE-2026-3564 (CVSS 9.0) in ConnectWise ScreenConnect vor Version 26.1

Angreifende mit Zugriff auf Konfigurationsdateien können den Maschinenschlüssel eines Geräts extrahieren und diesen für die Sitzungsauthentifizierung verwenden. ScreenConnect ist eine Plattform für Fernsupport und Fernzugriff, mit der IT-Mitarbeiter eine sichere Verbindung zu überwachten oder unbeaufsichtigten Geräten herstellen können. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3]. Der OPENVAS ENTERPRISE FEED enthält eine Fernüberprüfung des Banners, um betroffene Instanzen zu identifizieren.

CVE-2026-27944 (CVSS 9.8) in Nginx UI vor Version 2.3.3

Nicht authentifizierte Angreifende können aus der Ferne ein vollständiges Backup des zugrunde liegenden Systems herunterladen, das sensible Daten enthält, darunter Anmeldedaten, Sitzungstoken, private SSL-Schlüssel und Nginx-Serverkonfigurationen. Die Schwachstelle ist darauf zurückzuführen, dass der Endpunkt /api/backup ohne Authentifizierung zugänglich ist und die Verschlüsselungsschlüssel zur Entschlüsselung des Backups preisgibt. Eine vollständige technische Analyse und PoC-Exploits sind öffentlich verfügbar [1][2], und es wurden mehrere nationale CERT-Warnungen herausgegeben [3][4][5][6][7][8]. Nginx UI ist eine Web-Benutzeroberfläche für den Nginx-Webserver. Der OPENVAS ENTERPRISE FEED enthält eine aktive Prüfung zur Identifizierung betroffener Instanzen.

CVE-2025-66168 (CVSS 8.8) im Apache ActiveMQ Message Broker

Ein Integer-Überlauf-Fehler [CWE-190] führt dazu, dass das Feld für die verbleibende Länge des MQTT-Steuerpakets nicht ordnungsgemäß validiert wird. Eine Ausnutzung kann zu unerwartetem Verhalten führen, einschließlich Denial-of-Service (DoS). Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Apache ActiveMQ-Instanzen. Weitere Details finden Sie in der Ankündigung des Herstellers.

CVE-2026-1603 (CVSS 7.3, EPSS 65. Perzentil) in Ivanti Endpoint Manager vor 2024 SU5

Eine neue, aktiv ausgenutzte Sicherheitslücke zur Umgehung der Authentifizierung [CWE-288] könnte ausgenutzt werden, um Anmeldedaten von Ivanti Endpoint Manager-Geräten vor Version 2024 SU5 offenzulegen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Erkennung von CVE-2026-1603 und CVE-2026-1602 (CVSS 6,5). Die beiden CVEs wurden im Februar 2026 veröffentlicht, und Patches sind über den Sicherheitshinweis von Ivanti verfügbar. Es sind weder PoC-Exploits noch detaillierte technische Analysen öffentlich zugänglich.

CVE-2026-21643 (CVSS 9.8) in FortiClientEMS v7.4.x vor v7.4.5

Eine unsachgemäße Neutralisierung spezieller Elemente ermöglicht SQL-Injection [CWE-89] in Fortinet FortiClientEMS 7.4.x vor v7.4.5. Die Ausnutzung kann über speziell gestaltete HTTP-Anfragen zu unauthentifiziertem RCE führen. Eine technische Ursachenanalyse wurde veröffentlicht, die eine schnelle Entwicklung von Exploits ermöglichen könnte. Zahlreiche nationale CERT-Warnungen wurden herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13]. Der OPENVAS ENTERPRISE FEED bietet eine Remote-Banner-Prüfung für CVE-2026-21643. Aktualisieren Sie auf Version 7.4.5 oder höher. Weitere Informationen finden Sie im offiziellen Advisory von Fortinet.

Zusammenfassung

Der März 2026 brachte neue Cyberrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen mit sich. Netzwerkgeräte am Perimeter und Netzwerk-Appliances waren besonders stark betroffen. Zu den weiteren aufkommenden Bedrohungen zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, zentralen Betriebssystemkomponenten und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Ein Erfahrungsbericht über Open Source, Wettbewerb, Durchsetzung von Rechten und die Frage, wie man ein faires und nachhaltiges Open-Source-Ökosystem verteidigt.

Zusammenfassung

Dieser Bericht beschreibt einen realen Fall missbräuchlicher Nutzung von Open-Source-Software am Beispiel von OPENVAS, dem von uns entwickelten Open-Source-Schwachstellenmanagement. Ein Marktteilnehmer hatte systematisch Open-Source-Code und -Daten unter Verletzung von Lizenz- und Urheberrechten in eigene Produkte integriert und als eigene Leistung ausgegeben. Wir berichten hier über die technischen, forensischen und juristischen Schritte, die notwendig waren, um den Missbrauch nachzuweisen und wirksam zu unterbinden, einschließlich Abmahnung, einstweiliger Verfügung und der Einbindung von Plattformbetreibern. Besonderer Augenmerk liegt auf einem in Deutschland erstmals erfolgreich geführten Verfahren zur Durchsetzung der Open Database License (ODbL). Der Beitrag richtet sich an Open-Source-Entwickler, Unternehmen und Anwender und zeigt, welche Voraussetzungen und Aufwände mit der Durchsetzung von Open-Source-Lizenzen verbunden sind – und warum deren konsequente Verteidigung entscheidend für ein faires und nachhaltiges Open-Source-Ökosystem ist.

Eine vertiefende Analyse aus juristischer Fachperspektive ist bei IFROSS veröffentlicht.

Die Pfauen und die Krähe in der IT-Sicherheit

Wenn sich Anbieter von Softwareprodukten mit fremdem Federn schmücken wollen, bietet sich Open Source als einfache Quelle an. Natürlich ist das nicht mit den Open Source Lizenzen vereinbar, aber wen kümmert’s. „Was soll schon passieren?“ scheinen sich manche zu sagen, die sogar eigene Geschäftsmodelle auf der Arbeit anderer aufbauen, die sie noch dazu als eigene Werke ausgeben. Wer sich dagegen wehren will, muss einen weiten Weg gehen, und macht dabei viele interessante und nicht nur angenehme Erfahrungen. Wir haben das getan, und hier ist unser Bericht dazu.

Wir stellen mit OPENVAS ein weltweit beliebtes und verbreitetes Open Source Schwachstellenmanagement her. Durch unser Projekt wird die Suche nach Sicherheitslücken von IT-Systemen automatisierbar. Wir haben etwa 200.000 Tests, um Sicherheitslücken zu finden, dazu Scanner, um diese auszuführen und Applikationen, um den ganzen Prozess vom Scan bis zum Bericht zu steuern. Wir stellen eine Open Source Lösung kostenlos bereit sowie zusätzliche Module und Leistungen für unsere zahlenden Kunden. Dadurch finanzieren wir uns und ermöglichen auch die kostenlose Bereitstellung für die Community. Wir sind mit dem, was wir tun, gegenüber dem proprietären Mitbewerbern (große internationale Anbieter, meist aus den US) mindestens konkurrenzfähig, teilweise sogar besser. Das macht auch unseren Code zu einer verlockenden Beute.

Wir kennen viele kleine Anbieter auf der ganzen Welt, die auf Basis unserer Open Source Lösung eigene Produkte anbieten. Größere schließen mit uns Verträge. Viele halten sich an die Lizenzen, andere nicht. Das ärgert uns natürlich, aber andererseits wollen wir unsere Energie lieber für unser Projekt einsetzen als Rechtsstreitigkeiten irgendwo auf der Welt zu führen. Aber wenn es ein Mitbewerber zu wild treibt, dann handeln wir. „Zu wild treiben“ bedeutet: Copyright Vermerke in unserem Code zu verändern und unseren Namen durch den eigenen Firmennamen zu ersetzen, Attributierungspflichten zu ignorieren, Open Source Lizenzen zu verletzen.

Einen solchen Fall haben wir gerade erfolgreich verfolgt. Wir glauben, dass die Geschichte für verschiedene Gruppen interessant ist: für Open Source Entwickler, Projekte und Unternehmen, für an Rechtsfragen interessierte Personen (immerhin haben wir auf unserem Wege einen juristischen Präzedenzfall geschaffen – dazu später mehr) und auch die Anwender von Open Source Produkten und Projekten, die sich für die Sicherheit ihrer Supply Chain interessieren.

Was es braucht, um sich gegen missbräuchliche Nutzung erfolgreich zu wehren sind im Wesentlichen fünf Dinge: Zeit, Geld und Expertise sowie starke Nerven und viel Geduld. Zur Expertise gehört die juristische: das bedeutet einen guten Anwalt, der sich mit Open Source Lizenzen auskennt. Natürlich ist es auch ein entscheidender Faktor, an welchem Gerichtsstand man sich verteidigen möchte, da wird man immer das Land bevorzugen, in dem sich der eigene Firmensitz befindet, denn das hat einige Vorzüge, die sich auch in den Kosten bemerkbar machen. Nach welchem Recht verhandelt wird, ist wichtig. Wer sich international verteidigen will, braucht auch eine entsprechende ausgestattete oder vernetzte Anwaltskanzlei. Wer nicht gerade ein großes Unternehmen ist und reichlich Ressourcen besitzt, wird diesen Weg nicht wählen wollen. Die Verfahren, von denen hier die Rede sein wird, haben wir daher in Deutschland geführt, wo auch der Hauptsitz unseres Unternehmens ist. Ein anderer Teil der Expertise ist die technische und forensische. Man muss schließlich den Nachweis führen, dass der eigene Code in der missbräuchlichen Nutzung verbaut wurden. Wenn die Gegenseite die Open Source Pflichten nicht erfüllt und den Quellcode zur Verfügung stellt, muss man sich den entsprechenden Code beschaffen und den Nachweis führen, dass der eigene Anteil daran Bestandteil der Produkte ist, die die Gegenseite in Verkehr bringt. Es bietet sich an, über Dritte einen Kauf der Produkte zu tätigen, um den Nachweis führen zu können.

Wenn der Nachweis geführt ist, folgen die nächsten Schritte: Abmahnung erstellen, und sollte der Hersteller nicht reagieren, bei Gericht eine einstweilige Verfügung erwirken. Diese verhindert das Inverkehrbringen der Produkte, bis der Mangel (die missbräuchliche und nicht lizenzgemäße Nutzung der Software) abgestellt ist. In unserem Fall wurden die Produkte auch über Hyperscaler Plattformen, wie zum Beispiel Microsoft Azure, verbreitet. Hier kann man den Betreiber auf der Basis des Digital Services Act darauf hinweisen, dass Lizenzen verletzt werden, was dazu führt, dass die Produkte dort nicht mehr vertreiben werden können, weil Microsoft (im Fall von Azure) diese im Store sperrt, wenn man dort z.B. auf die einstweilige Verfügung hinweist. Das ist eine sehr schöne Sache, weil es den Produktanbieter zusätzlich unter Druck setzt. Natürlich ist das nur möglich, wenn man einen plausiblen Nachweis hat, dessen Erlangung ein gutes Stück Arbeit sein kann, je nachdem wieviel Energie der Produktanbieter aufgewendet hat, um die nicht lizenzgemäße Nutzung von Drittkomponenten zu verschleiern. Wir haben die Erfahrung gemacht, das fortgeschrittene Verschleierungstechniken weniger häufig genutzt werden als erwartet: wir konnten einen eindeutigen Nachweis führen, sowohl darüber, dass es sich um unsere Quellen handelt, als auch darüber, dass es kein Versehen war.

In unserem Fall wurden zudem Erweiterungen mit unseren Bibliotheken verlinkt und dabei das Copyleft missachtet. Dabei wurde, um die Lizenzverletzung zu verschleiern, unser Copyright Hinweis den eigenen Erweiterungen hinzugefügt. Als wir diese Manipulationen entdeckten, haben wir natürlich über die Dreistigkeit gestaunt und auch gleich etwas weiter geforscht. Wir haben dabei festgestellt, dass wir nicht die einzigen Opfer des Anbieters sind, haben uns aber entschlossen uns erst einmal auf unsere Verfahren zu konzentrieren.

Wir hatten drei Ziele, als wir das Projekt begonnen haben: die missbräuchliche Nutzung abzustellen, möglicherweise Schadensersatz zu bekommen und am Ende die nicht ganz unerheblichen Kosten der Verfahren der Gegenseite aufzuerlegen. Ein Ziel haben wir bereits erreicht, unsere Verfügung ist rechtswirksam und kann auch nicht mehr angefochten werden.

Einen schönen juristischen Erfolg haben wir mit unseren Verfahren bereits erzielt, und der hat etwas mit der Lizenzierung der Datenbankinhalte unseres Produktes zu tun. Zum Hintergrund: unsere Lösungen bestehen aus drei Komponenten: dem Anwendungs- und Systemcode und zugehörige Binaries, viele tausend Testskripte zur Schwachstellensuche, die zusammen mit Informationen zu bereits bekannten Schwachstellen und Input zu deren Behebung eine große Datenbank bilden. Diese Datenbank ist für unser Communityprodukt unter der Open Database Public License (ODbL) lizenziert. Die ODbL erlaubt es, eine Datenbank frei zu kopieren, weiterzugeben, zu verändern und zu nutzen (z.B. für eigene Anwendungen oder Analysen). Gleichzeitig stellt sie sicher, dass abgeleitete Datenbanken unter denselben Freiheiten verfügbar bleiben. Die bekannte Geodatenbank OpenStreetMap steht unter der ODbL. Wer eine ODbL Datenbank mit eigenen proprietären Inhalten mischt, muss auch diese modifizierte Datenbank unter die ODbL stellen, es handelt sich daher um eine Copyleft Lizenz. In unserem Verfahren wurde zum ersten Mal in Deutschland eine ODbL Datenbank erfolgreich in einem Lizenzstreit verteidigt. Dadurch wurde eine Musterentscheidung erzielt, auf die sich andere nun beziehen können. Das freut uns sehr.

Und wir machen noch weiter: Aktuell haben wir Klage erhoben. Hier wird es um die urheberrechtliche und wettbewerbsrechtliche Thematik gehen, und auch das Thema Schadensersatz adressiert werden.

Soweit die Zusammenfassung eines Vorgangs, der sich über einige Monate hinzugezogen hat und noch in die Zukunft reicht. Das derzeitige Fazit ist positiv: wir haben bisher in allen wichtigen Belangen gewonnen. Wir machen Open Source stärker, wenn wir ihre Regeln auch durchsetzen. Open Source ist eine Grundlage unseres Geschäftsmodells, deswegen ist es uns wichtig, diese Grundlage zu verteidigen. Andererseits ist der Aufwand erheblich. Unser Geschäftszweck ist es, unseren Nutzern die größtmögliche Sicherheit ihrer IT-Infrastruktur zu ermöglichen und nicht, Rechtsstreitigkeiten zu führen. Wir möchten das nur sehr dosiert tun und auch nur dort, wo die Erfolgsaussichten groß und die Rahmenbedingungen günstig sind (wie in unserem Fall hier, wo wir im gewohnten Rechtssystem agieren können). Unser Dank gilt unserer hervorragenden rechtlichen Vertretung durch Dr. Till Jaeger von JBViniol und der großartigen forensischen Expertise von DN-Systems – ohne deren Hilfe hätten wir diese Erfolge nicht erreichen können.

Wir haben eine Liste mit etwas über 100 Verdachtsfällen, wir bekommen sehr regelmäßig Hinweise von Partnern, Community und Mitarbeitenden über solche Fälle. Nicht immer sind die Rahmenbedingungen so günstig wie im vorliegenden Fall, und nicht immer ist die Relevanz groß genug. Dort wo es so ist, werden wir – trotz des großen Aufwandes – wieder gegen Anbieter vorgehen. Wir wollen ein faires und gesundes Open Source Ökosystem, und besonders dreiste Verstöße – wie der hier berichtete – triggern uns natürlich. Mit diesem Bericht wollen wir auch andere ermutigen, und – ganz der Open Source Idee folgend – unser Wissen teilen.

Download
LG Berlin II – Urteil, Az. 15 O 299/25 (geschwärzte Fassung) – PDF

Die Schlagzeilen zum Thema Cybersicherheit im Februar 2026 wurden von dem plötzlich aufgetretenen Risiko durch CVE-2026-20127 dominiert, einer kritischen Sicherheitslücke in Cisco Catalyst SD-WAN. In diesem Monat öffneten jedoch auch andere hochriskante Sicherheitslücken, die weit verbreitete Unternehmenssoftware betreffen, neue Lücken, die für Angriffe genutzt werden können. Um ihre IT-Infrastruktur wirksam zu verteidigen, benötigen Sicherheitsteams detaillierte Transparenz, zuverlässige Bedrohungsinformationen für die Priorisierung und eine starke Führung für strategische Entscheidungen. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können das Einstiegsprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Werfen wir einen Blick auf die Schwachstellen mit dem höchsten Risiko in Unternehmenssoftware aus dem Februar 2026.

Februar 2026 Threat Report

CVE-2026-1731: Ransomware-Angriffe, die eine kritische Schwachstelle in BeyondTrust ausnutzen

CVE-2026-1731 (CVSS 9,8, EPSS ≥ 98. Perzentil) wurde am 6. Februar 2026 veröffentlicht, eine Woche später in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen und schnell für Ransomware-Angriffe markiert. Die Schwachstelle ermöglicht die Ausführung von Remote-Code (RCE) vor der Authentifizierung über eine OS-Befehlsinjektion [CWE-78] in BeyondTrust Remote Support (RS) und Privileged Remote Access (PRA). Die CISA setzte den zivilen Bundesbehörden eine aggressive Frist von drei Tagen für die Behebung der Schwachstelle, möglicherweise aufgrund der Tatsache, dass RS und PRA im Dezember 2024 bei einem Angriff auf das US-Finanzministerium ausgenutzt wurden.

Die Ursache liegt in einer unzureichenden Überprüfung der User-Eingabe „remoteVersion” im thin-scc-wrapper-WebSocket-Handshake. Die nicht bereinigten Daten werden in eine Bash-Arithmetikauswertung injiziert, was die Ausführung beliebiger Shell-Befehle ermöglichen kann. Ein PoC-Exploit wurde am 10. Februar öffentlich zugänglich gemacht, und eine detaillierte technische Beschreibung hat die Entwicklung von Exploits vereinfacht. Laut Hacktron waren ursprünglich etwa 11.000 betroffene Instanzen dem Internet ausgesetzt, darunter etwa 8.500 lokale Bereitstellungen. CVE-2026-1731 hat weltweit zahlreiche Warnungen von nationalen CERT-Behörden ausgelöst [1][2][3][4][5][6][7][8][9].

Nach dem ersten Zugriff erstellten die Eindringlinge gefälschte Konten, setzten Web-Shells für RCE ein, installierten Command-and-Control-Tools (C2), umgingen die Abwehrmaßnahmen durch DNS-Tunneling, nutzten PSexec- und SMB2-Setup-Anfragen für laterale Bewegungen und exfiltrierten Daten, darunter vollständige PostgreSQL-Dumps [10][11]. Die Incident Responder stellten außerdem den Einsatz der Malware SparkRAT und VShell fest.

Zeitachse der Ereignisse von der Offenlegung bis zur Ausnutzung:

• 31.01.2026: Hacktron meldete CVE-2026-1731 verantwortungsbewusst an BeyondTrust.
• 02.02.2026: BeyondTrust veröffentlicht Patches für betroffene RS- und PRA-Produkte.
• 06.02.2026: BeyondTrust veröffentlicht die Sicherheitsempfehlung BT26-02 und CVE-2026-1731 wird veröffentlicht.
• 09.02.2026: Greenbone erstellt Erkennungstests für den OPENVAS ENTERPRISE FEED [12][13].
• 10.02.2026: Die technische Analyse und der PoC-Exploit-Code werden öffentlich zugänglich gemacht.
• 12.02.2026: GreyNoise meldet die Beobachtung von Erkundungsscans und watchTowr Threat Intelligence berichtet über Exploits in freier Wildbahn.
• 13.02.2026: CISA nimmt CVE-2026-1731 in den KEV-Katalog auf, und Incident Responder geben Indikatoren für Kompromittierung (IoC) und Verhaltensindikatoren weiter [10].
• 16.02.2026: CISA verschiebt die Frist für die Behebung des Problems auf Montag, den 16.02.2026.
• 19.02.2026: Weitere Vorfallberichte enthüllen zusätzliche IoCs, TTPs sowie betroffene Sektoren und geografische Regionen [11].

Der OPENVAS ENTERPRISE FEED von Greenbone hat Remote-Banner-Prüfungen integriert, um betroffene RS- [12] und PRA- [13] Instanzen vor der aktiven Ausnutzung von CVE-2026-1731 zu identifizieren. Betroffene Versionen sind RS ≤ 25.3.1 und PRA ≤ 24.3.4. Patches sind seit dem 2. Februar 2026 verfügbar.

CVE-2026-22769: CVSS 10 in Dell RecoverPoint für VMs aktiv ausgenutzt

CVE-2026-22769 (CVSS 10, EPSS ≥ 97. Perzentil) ist eine neue kritische Sicherheitslücke, die Dell RecoverPoint for Virtual Machines (RP4VMs) betrifft und laut Sicherheitsanalysen seit mindestens Mitte 2024 heimlich ausgenutzt wird. Die CISA hat CVE-2026-22769 am 28. Februar in ihre KEV-Liste aufgenommen und von den Bundesbehörden verlangt, innerhalb von drei Tagen Patches zu installieren. Die Ursache liegt in fest codierten Admin-Anmeldedaten [CWE-798] in der Apache Tomcat Manager-Konfiguration von RP4VMs. Angreifende, die diese Anmeldedaten kennen, können sich unbefugten Root-Zugriff und Persistenz auf den betroffenen Geräten verschaffen.

RP4VMs ist ein auf VMware ausgerichtetes Produkt für Datenschutz und Replikation, das als Softwarekomponenten innerhalb einer VMware vSphere-Umgebung implementiert ist. Seine Architektur umfasst einen in den Hypervisor eingebetteten RecoverPoint-Write-Splitter und einen auf jedem ESXi-Host installierten Splitter-Agenten.

Es ist kein öffentlicher PoC bekannt, und es wurden keine Opfer von Ransomware gemeldet. Frühere Exploits wurden dem Bedrohungsakteur UNC6201 zugeschrieben, dessen Ziel Spionage war. Laut Google Threat Intelligence wurden bei den Angriffen die Webshell Slaystyle [1], Brickstorm [2][3] und eine neuartige Backdoor namens Grimbolt – eine vorkompilierte C#-Binärdatei – eingesetzt. Mehrere Länder haben nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8].


Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Instanzen zu identifizieren. Betroffen sind RP4VM-Versionen vor 6.0.3.1 HF1. Dell hat aufgefordert, sofort auf 6.0.3.1 HF1 zu aktualisieren oder offizielle Abhilfemaßnahmen zu ergreifen.

Microsoft Patch Tuesday umfasst sechs aktiv ausgenutzte und weitere Schwachstellen

Der Patch-Zyklus von Microsoft für Februar 2026 hat sechs aktiv ausgenutzte Schwachstellen aufgedeckt und fünf weitere als „Exploitation More Likely” (Ausnutzung eher wahrscheinlich) eingestuft. Alle Schwachstellen erfordern Software-Updates zum Schutz; es sind keine Workarounds oder Abhilfemaßnahmen verfügbar. Die neuen aktiv ausgenutzten Microsoft-Schwachstellen sind:

• CVE-2026-21510 (CVSS 8.8, EPSS ≥ 86. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] in der Windows-Shell ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21513 (CVSS 8,8, EPSS ≥ 88. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] im MSHTML-Framework ermöglicht es unbefugten Angreifenden, eine Sicherheitsfunktion über ein Netzwerk zu umgehen.
• CVE-2026-21514 (CVSS 7,8, EPSS ≥ 84. Perzentil): Microsoft Office Word stützt sich bei einer Sicherheitsentscheidung auf nicht vertrauenswürdige Eingaben [CWE-807], wodurch nicht autorisierte Angreifende eine Sicherheitsfunktion lokal umgehen können.
• CVE-2026-21519 (CVSS 7,8, EPSS ≥ 84. Perzentil): Eine Typverwechslung [CWE-843] im Desktop Window Manager (dwm.exe) ermöglicht es autorisierten Angreifenden, lokal Berechtigungen zu erweitern.
• CVE-2026-21533 (CVSS 7,8, EPSS ≥ 82. Perzentil): Durch unsachgemäße Rechteverwaltung [CWE-269] in Windows Remote Desktop können autorisierte Angreifende lokal ihre Rechte erweitern.
• CVE-2026-21525 (CVSS 6,2, EPSS ≥ 84. Perzentil): Eine NULL-Zeiger-Dereferenzierung [CWE-476] im Windows Remote Access Connection Manager ermöglicht es nicht autorisierten Angreifenden, den Dienst lokal zu verweigern.

Neben der regelmäßigen Veröffentlichung von Patches durch Microsoft wurden im Februar 2026 zwei weitere CVEs mit hohem Risiko außerhalb des regulären Zeitplans bekannt gegeben:

• CVE-2026-26119 (CVSS 8.8): Eine unsachgemäße Authentifizierungslücke [CWE-287] im Windows Admin Center (WAC) ermöglicht es autorisierten Angreifenden, ihre Berechtigungen über ein Netzwerk zu erweitern. Bei Ausnutzung dieser Schwachstelle könnte ein Standarduser die vollständige Kontrolle über die Domäne erlangen. Der Fehler wird nicht als aktiv ausgenutzt angesehen, sondern von Microsoft als „Ausnutzung eher wahrscheinlich” eingestuft. CVE-2026-26119 wurde in der WAC-Version 2511 gepatcht, die im Dezember 2025 veröffentlicht wurde.
• CVE-2026-2636 (CVSS 5.5): Eine fehlerhafte Verarbeitung ungültiger Sonderelemente [CWE‑159] kann einen Aufruf der Funktion „KeBugCheckEx“ erzwingen, was zu einer nicht behebbaren Inkonsistenz im Treiber „CLFS.sys“ führt. Durch Ausnutzung dieser Schwachstelle können nicht privilegierte User einen Systemabsturz auslösen. CVE-2026-2636 wurde im kumulativen Update vom September 2025 für Windows 11 2024 LTSC und Windows Server 2025 gepatcht. Öffentlicher PoC-Code und eine vollständige technische Analyse sind verfügbar, was das Risiko einer Ausnutzung in der Praxis erhöht.

Greenbone umfasst die Erkennung aller oben genannten CVEs, die Microsoft-Produkte betreffen, und erstellt regelmäßig Schwachstellenerkennungsprüfungen für Microsoft Security Bulletins [15][16] und andere Windows-Schwachstellen. Sicherheitsverantwortliche sollten die Sicherheitspatch-Level kontinuierlich überprüfen, um sicherzustellen, dass neu aufgedeckte Schwachstellen behoben werden.

Neue SolarWinds Serv-U-CVEs stellen ein hohes Risiko für die Unternehmens-IT dar

Am 24. Februar 2026 wurden vier CVEs veröffentlicht, die das verwaltete Dateiübertragungstool SolarWinds Serv-U betreffen. Während das NIST einen CVSS-Score von 7,2 vergeben hat, stuft SolarWinds jede einzelne als CVSS 9,1 ein – also als kritisch. Alle Schwachstellen ermöglichen RCE als Root unter Linux und potenziell mit SYSTEM-Rechten unter Windows. Allerdings sind für die Ausnutzung aller vier CVEs Adminrechte erforderlich.

Obwohl keine aktive Ausnutzung gemeldet wurde und keine öffentlichen PoC oder detaillierten Ausnutzungsberichte verfügbar sind, wurde eine Schwachstelle in SolarWinds Serv-U aus dem Jahr 2024 innerhalb weniger Wochen ausgenutzt. Die Beliebtheit von SolarWinds bei großen Unternehmen macht es zu einem beliebten Ziel. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung, um anfällige Instanzen von Serv-U zu identifizieren. Es sollte so schnell wie möglich auf v15.5.4 aktualisiert werden.



Die vier neuen CVEs mit hohem Risiko, die SolarWinds Serv-U betreffen, sind:

• CVE-2025-40538 (CVSS 7.2): Eine fehlerhafte Zugriffskontrolle [CWE-269] ermöglicht es einem authentifizierten Serv-U-Admin-User, einen System-Admin-User anzulegen und beliebigen Code als privilegierter Domänen-Admin oder Gruppen-Admin auszuführen.
• CVE-2025-40539 (CVSS 7.2): Eine Typverwirrungs-Sicherheitslücke [CWE-704] ermöglicht es authentifizierten Angreifenden, beliebigen nativen Code als privilegiertes Konto auszuführen.
• CVE-2025-40540 (CVSS 7.2): Eine Typverwirrungslücke [CWE-704] ermöglicht es einem authentifizierten User, beliebigen nativen Code als privilegierter User auszuführen.
• CVE-2025-40541 (CVSS 7.2): Eine Unsichere direkte Objektreferenz (IDOR) ermöglicht es einem authentifizierten Serv-U-Admin, nativen Code als privilegiertes Konto auszuführen.

CVE-2026-2329: PoC-Exploit für neue IP-Telefone der Grandstream GXP1600-Serie

CVE-2026-2329 (CVSS 9.8, EPSS ≥ 97. Perzentil) ermöglicht eine nicht authentifizierte RCE als Root-User des Geräts auf VoIP-Telefonen der Grandstream GXP1600-Serie. CVE-2026-2329 ist eine stapelbasierte Pufferüberlauf-Sicherheitslücke [CWE-121], die durch eine unsachgemäße Bereichsprüfung in der HTTP-API /cgi-bin/api.values.get verursacht wird. Es ist nicht bekannt, dass diese Sicherheitslücke aktiv ausgenutzt wird. Es liegen jedoch eine vollständige technische Analyse und ein Metasploit-Exploit-Modul vor, wodurch das Risiko von Angriffen steigt.

Die Ausnutzung von CVE-2026-2329 könnte Angreifenden Folgendes ermöglichen:

• Beliebige Betriebssystembefehle [T1059] auf dem Telefon als Root-User auszuführen
• Dauerhaften Zugriff auf kompromittierte Geräte aufrechtzuerhalten [T1543]
• Gespeicherte Geheimnisse [T1552] vom Gerät, wie lokale Konten und SIP-Kontoanmeldedaten, auslesen und für nachfolgende Angriffe [T1078] nutzen
• SIP-Einstellungen so zu konfigurieren, dass sie auf einen vom Angreifer kontrollierten SIP-Proxy verweisen, wodurch transparentes Abhören von Anrufen [T1557] und Audio-Abhören [T1040] ermöglicht wird

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um anfällige Geräte zu identifizieren. Betroffen sind Grandstream GXP1610-, GXP1615-, GXP1620-, GXP1625-, GXP1628- und GXP1630-Geräte mit einer Firmware-Version vor 1.0.7.81. Es sollte auf die Firmware-Version 1.0.7.81 oder höher aktualisiert werden.

Nicht authentifizierter RCE in VMware Aria Operations während der unterstützten Migration und mehr

Seit Ende 2025 berichten Sicherheitsforschende von einem zunehmenden Risiko für VM-Umgebungen [1][2]. In diesem Monat gab es in diesem Bereich neue Bedrohungen, darunter mehrere neue Schwachstellen, die VMware Aria Operations betreffen. Aria Operations ist eine weitgehend automatisierte Plattform für die Überwachung, Leistungsanalyse und Planung von vSphere-VM-Flotten und Hybrid-Cloud-Infrastrukturen.

Die neuen CVEs, die VMware Aria Operations betreffen, sind:

• CVE-2026-22719 (CVSS 8.1): Eine Schwachstelle bei der Befehlsinjektion [CWE-77] ermöglicht es einem nicht authentifizierten Bedrohungsakteur, während einer unterstützten Produktmigration beliebige Befehle aus der Ferne auszuführen. Die unterstützte Produktmigration ist ein Workflow, an dem der VMware-Support im Rahmen einer Produktumstellung/einem Produkt-Upgrade beteiligt ist.
• CVE-2026-22720 (CVSS 8.0): Eine gespeicherte Cross-Site-Scripting-Sicherheitslücke [CWE-79] ermöglicht es Angreifenden mit Berechtigungen, benutzerdefinierte Benchmarks zu erstellen und Skripte einzuschleusen, um administrative Aktionen durchzuführen.
• CVE-2026-22721 (CVSS 6.2): Eine Schwachstelle bei der Rechteausweitung [CWE-269] ermöglicht mit vCenter, auf Aria Operations zuzugreifen, um Administratorrechte zu erlangen.

VMware Aria Operations Version 8.x ist betroffen, und v8.18.6 behebt alle drei CVEs. Eine Abhilfe für CVE-2026-22719 wurde als Shell-Skript bereitgestellt, das passwortlose sudo-Berechtigungen in der Datei /etc/sudoers entfernt und ein Migrations-Launcher-Skript löscht. Die Abhilfe behebt nicht die Sicherheitslücken CVE-2026-22720 und CVE-2026-22721. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung, um betroffene Aria Operations-Knoten zu erkennen.

Weitere kritische CVEs betreffen Trend Micro Apex One

Erst letzten Monat wurde im Greenbone Threat Report eine authentifizierte RCE-Sicherheitslücke in Trend Micro Apex One untersucht. Im Februar veröffentlichte Trend Micro ein weiteres Notfall-Sicherheitsbulletin, in dem neun neue Schwachstellen in der Endpoint-Sicherheitsplattform Apex One offengelegt wurden. Seltsamerweise sind die veröffentlichten CVE-IDs bis zum 3. März 2026 weder im MITRE CVE-Repository noch im NIST NVD aufgetaucht.

Laut Trend Micro reichen die Schweregrade der Schwachstellen von CVSS 7,2 (hoch) bis 9,8 (kritisch). Die beiden CVEs mit kritischem Schweregrad ermöglichen eine nicht authentifizierte RCE über das Hochladen bösartiger Dateien, während die CVEs mit hohem Schweregrad alle eine lokale Privilegieneskalation ermöglichen. Der OPENVAS ENTERPRISE FEED enthält eine Windows-Registrierungsversionsprüfung für betroffene Instanzen von Apex One für Windows. Betroffene sollten so schnell wie möglich den Critical Patch (CP) Build 14136 für Apex One 2019 (vor Ort) installieren.

Neue authentifizierte RCE-Sicherheitslücken betreffen den Kubernetes Ingress NGINX Controller

Es wurden zwei neue CVEs mit hohem Schweregrad bekannt, die den Kubernetes Ingress NGINX Controller betreffen, sowie eine CVE mit mittlerem und eine weitere mit niedrigem Schweregrad. Beide neuen Schwachstellen mit hohem Schweregrad erfordern Kubernetes-API-/RBAC-Rechte, und es sind nur Instanzen mit der Ingress NGINX-Komponente betroffen. Ingress NGINX ist eine von mehreren Ingress-Controller-Implementierungen für Kubernetes. Es ist wichtig zu beachten, dass der Support für Ingress NGINX im März 2026 endet. Der Kubernetes-Blog empfiehlt die Migration zur Gateway-API. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5].

Die CVEs mit hohem Schweregrad sind:

• CVE-2026-1580 (CVSS 8.8): Die Ingress-Anmerkung ingress.kubernetes.io/auth-method kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des Ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.
• CVE-2026-24512 (CVSS 8.8): Das Ingress-Feld http.paths.path kann zum Einfügen von nginx-Konfigurationen verwendet werden, was zu einer beliebigen authentifizierten RCE im Kontext des ingress-nginx-Controllers und möglicherweise zur Offenlegung aller Geheimnisse im gesamten Cluster führt.

Der OPENVAS ENTERPRISE FEED hat innerhalb weniger Stunden nach Bekanntgabe eine ausführbare Versionsprüfung für alle neuen CVEs in der Sicherheitswarnung hinzugefügt. Betroffen sind Ingress NGINX-Versionen 1.13.x vor 1.13.7 und 1.14.x vor v1.14.3. Unternehmen, die auf Ingress NGINX angewiesen sind, sollten auf v1.13.7, v1.14.3 oder höher aktualisieren.

Zusammenfassung

Der Threat Report dieses Monats fasst die Schwachstellen mit den größten Auswirkungen und die Exploit-Trends zusammen, die im Februar 2026 beobachtet wurden. Mehrere neue CVEs wurden mit Exploit-Aktivitäten in freier Wildbahn, Ransomware-Operationen und der raschen Entwicklung von Exploits in Verbindung gebracht. Sicherheitsbeauftragte, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können das Einstiegsprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Bislang hat das Jahr 2026 turbulent begonnen. Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Threat Reports Januar 2026 erörtert wurden, einfach nachzuvollziehen. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. In Teil 2 des Threat Reports behandeln wir weitere kritische Sicherheitslücken, die im ersten Monat des Jahres 2026 aufgedeckt wurden.

Sicherheitsbeauftragte müssen umfassende und häufige Scans durchführen, um neue Bedrohungen in ihrer Infrastruktur zu erkennen und Maßnahmen zur Risikominderung entsprechend den potenziellen Auswirkungen auf den Geschäftsbetrieb, Datenschutzbestimmungen und andere Compliance-Verpflichtungen zu priorisieren. Sicherheitsbeauftragte, die nach Möglichkeiten zur Erkennung und zum Schutz suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion des OPENVAS ENTERPRISE FEED.

Threat Report Januar 2026: Teil 2

CVE-2025-69258: TrendMicro Apex Central ermöglicht nicht authentifizierten RCE als SYSTEM

CVE-2025-69258 (CVSS 9.8) betrifft Trend Micro Apex Central On-Premises für Windows und ermöglicht nicht authentifizierten RCE mit SYSTEM-Rechten. Zwei weitere CVEs, CVE-2025-69259 und CVE-2025-69260 (beide CVSS 7.5), die zur gleichen Zeit veröffentlicht wurden, ermöglichen Denial-of-Service-Bedingungen (DoS). Die Ursache für CVE-2025-69258 ist ein Pufferüberlauf [CWE-120] aufgrund einer unsicheren Verwendung von LoadLibraryEx und einer unsachgemäßen Nachrichtenverarbeitung. Der Fehler führt zu DLL-Injektionen, NULL-Verarbeitungsfehlern und Lesevorgängen außerhalb des zulässigen Bereichs.

Apex Central ist ein zentrales Verwaltungssystem für die Administration und Überwachung von Trend Micro-Sicherheitsprodukten in einem Unternehmen und damit ein bevorzugtes Ziel für Angriffe. Lokale Windows-Builds unter 7190 sind anfällig. Apex Central verfügt über keinen automatischen Update-Mechanismus; Admins müssen Patches und Upgrades manuell installieren. In der offiziellen Sicherheitsempfehlung werden die erforderlichen Softwarevoraussetzungen (z. B. Service Packs) beschrieben, die möglicherweise installiert werden müssen, bevor das Critical Patch Build 7190 installiert werden kann.

Es gibt keine Bestätigung dafür, dass die CVEs aktiv ausgenutzt werden, aber für alle drei CVEs wurden vollständige technische Details und Proof-of-Concept-Exploits veröffentlicht, was ihr Risiko erheblich erhöht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine lokale Registrierungsprüfung, um alle oben genannten CVEs zu erkennen.

Zwei neue aktiv ausgenutzte Ivanti EPMM-Sicherheitslücken

Zwei neue Schwachstellen, die Ivanti Endpoint Manager Mobile (EPMM) betreffen, CVE-2026-1281 und CVE-2026-1340 (beide CVSS 9.8), wurden am 29. Januar 2026 veröffentlicht, und CVE-2026-1281 wurde noch am selben Tag in die KEV-Liste der CISA aufgenommen. Beide CVEs ermöglichen eine nicht authentifizierte RCE über Code-Injektion aufgrund einer unsachgemäßen Kontrolle von generierten Code [CWE-94]. Beide werden durch vorab authentifizierte Apache RewriteMap-Integrationen verursacht, die von Angreifenden kontrollierte HTTP-Parameter an ein Bash-Skript weiterleiten, das Befehlssubstitution und die Ausführung von Remote-Shell-Befehlen ermöglicht.

Sobald ein EPMM-Gerät kompromittiert wurde, besteht ein Risiko für den Einsatz von Backdoors [TA0011], laterale Bewegung innerhalb des Netzwerks des Opfers [TA0008] oder das Stehlen sensibler Informationen [T1005], die auf dem EPMM-Gerät gespeichert sind. Dazu können Adminanmeldedaten [TA0006] und Daten von Mobilgeräten gehören, darunter GPS-Standorte [T1430] und IMEI-Werte [T1426]. Die Ausnutzung ermöglicht auch die Manipulation von Konfigurationen [T1562] über die API oder die Webkonsole [T1102].

Eine detaillierte technische Analyse wurde von watchTowr Labs veröffentlicht, aber Push-Button-Exploit-Kits sind nicht öffentlich verfügbar. Darüber hinaus wurde die Ausnutzung bisher nicht mit Ransomware-Operationen in Verbindung gebracht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Versionsprüfung, um betroffene Instanzen zu identifizieren. Beide Schwachstellen betreffen lokale Instanzen von Ivanti EPMM. Weitere Informationen zu den betroffenen Versionen, den Schritten zur Installation der Patches und den bekannten Indikatoren für Kompromittierung (IoC) finden Sie in der offiziellen Empfehlung und den Analysehinweisen von Ivanti. Ivanti weist darauf hin, dass die einfache Installation des Patches als Abhilfemaßnahme nicht ausreicht. Sicherheitsverantwortliche sollten auch nach IoC suchen und bei einem Fund einen Incident-Response-Prozess einleiten, gefolgt von einer vollständigen Systemwiederherstellung.

CVE-2025-34026: Versa Concerto wird aktiv ausgenutzt

CVE-2025-34026 (CVSS 7.6, EPSS ≥ 98. Perzentil), veröffentlicht am 21. Mai 2025, wurde am 22. Januar 2026 in die KEV-Liste der CISA aufgenommen. Die Schwachstelle ermöglicht eine Umgehung der Authentifizierung, was zu einem Zugriff auf administrative Endpunkte in der SD-WAN-Orchestrierungsplattform Versa Concerto führt. Die Ursache ist eine unsachgemäße Bearbeitung von Anfragen im exponierten Traefik-Reverse-Proxy und im Spring Boot Actuator-Endpunkt. Durch Ausnutzen dieser Schwachstelle ist der Zugriff auf Heap-Dumps und Trace-Protokolle möglich, die Klartext-Anmeldedaten und Sitzungstoken enthalten können.

Andere Concerto-Schwachstellen, CVE-2025-34027 (CVSS 10, EPSS ≥ 87. Perzentil) und CVE-2025-34025 (CVSS 8.6), können ebenfalls zu einer vollständigen Kompromittierung des Systems führen, aber es gibt keine Berichte über ihre aktive Ausnutzung. Beide zusätzlichen CVEs wurden ebenfalls am 21. Mai 2025 veröffentlicht. Obwohl eine vollständige technische Analyse verfügbar ist, gibt es keine öffentlichen PoC-Exploits.

Der OPENVAS ENTERPRISE FEED enthält seit Mai 2025 eine aktive Überprüfung für CVE-2025-34026 und eine weitere für CVE-2025-34027, sodass Verteidigende frühzeitig informiert werden und Abwehrmaßnahmen ergreifen können. Diese Überprüfungen senden speziell gestaltete HTTP-Anfragen, um anfällige Instanzen zu identifizieren. Die Schwachstelle wurde in der am 16. April 2025 veröffentlichten Version 12.2.1 GA von Concerto behoben. Die Updates sollten dringend installiert werden.

Ni8Mare und die stetige Flut kritischer n8n-CVEs seit Ende 2025

CVE-2026-21858 (auch bekannt als Ni8Mare, CVSS 10, EPSS ≥ 90. Perzentil) ist die kritischste einer ganzen Reihe kritischer n8n-Schwachstellen, die seit Ende 2025 aufgetreten sind und die Versionen 1.x sowohl für selbst gehostete als auch für n8 Cloud-Instanzen betreffen. CVE-2026-21858 kann ohne Authentifizierung aus der Ferne ausgelöst werden und ermöglicht die vollständige Übernahme der Workflow-Automatisierungsplattform. Für CVE-2026-21858 sind mehrere technische Analysen verfügbar [1][2].

n8n ist eine Open-Source-Workflow-Automatisierungsplattform mit fairem Code, mit der Anwendungen, APIs und Dienste visuell zu automatisierten Prozessen verbunden werden können. Das Workflow-Repository von n8n umfasst über 7.800 veröffentlichte Workflows, was darauf hindeutet, dass die Anwendung weit verbreitet ist.

Weitere kritische und schwerwiegende Schwachstellen, die seit Ende 2025 in den n8n-Versionen 0.x und 1.x bekannt sind, umfassen:

• CVE-2026-21877 (CVSS 9.9, EPSS ≥ Perzentil): Authentifizierte Angreifende können einen bösartigen Dateityp [CWE-434] in die n8n-Instanz hochladen, der RCE ermöglicht und möglicherweise zu einer vollständigen Kompromittierung des Systems führt. Admins können das Risiko verringern, indem sie den Git-Knoten deaktivieren und den Zugriff für nicht vertrauenswürdige User einschränken. Es wird jedoch ein Upgrade empfohlen. Dieses Problem wurde in Version 1.121.3 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
• CVE-2025-68668 (CVSS 9.9, EPSS ≥ 13. Perzentil): Eine Sandbox-Umgehungsschwachstelle [CWE-693] im Python-Code-Knoten, der Pyodide verwendet. Authentifizierte User mit Berechtigungen zum Erstellen oder Ändern von Workflows können beliebige Befehle auf dem Host mit n8n-Prozessrechten ausführen. Zu den Workarounds gehören: vollständige Deaktivierung des Code-Knotens, Deaktivierung der Python-Unterstützung im Code-Knoten und Konfiguration von n8n für die Verwendung der Python-Sandbox des Task-Runners. Eine vollständige Ursachenanalyse für CVE-2025-68668 ist verfügbar, wodurch sich das Risiko erhöht. Das Problem wurde in Version 2.0.0 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.
• CVE-2025-68613 (CVSS 8.8, EPSS ≥ 99. Perzentil): Eine RCE-Sicherheitslücke im Auswertesystem für n8n-Workflow-Ausdrücke, die es unter bestimmten Bedingungen ermöglicht, dass von authentifizierten Usern bereitgestellte Ausdrücke in einer nicht Ausführungsumgebung außerhalb der Sandbox [CWE-913] ausgewertet werden. So kann RCE mit n8n-Prozessrechten erreicht werden. Für CVE-2025-68613 sind mehrere PoC-Exploits [3][4][5] und ein Metasploit-Modul verfügbar, die das Risiko erhöhen. Dieses Problem wurde in den Versionen 1.120.4, 1.121.1 und 1.122.0 behoben. Weitere Informationen finden Sie in der Sicherheitsempfehlung.
• CVE-2025-65964 (CVSS 8.8, EPSS ≥ 5. Pctl): Der Vorgang „Add Config” ermöglicht es Workflows, beliebige Git-Konfigurationswerte festzulegen, darunter core.hooksPath, der auf einen bösartigen Git-Hook verweisen kann. Dies könnte die Ausführung beliebiger Befehle auf dem n8n-Host während Git-Vorgängen ermöglichen. Eine vollständige technische Beschreibung und Exploit-Kette ist verfügbar. Die Ausnutzung erfordert n8n-Workflow-Rechte unter Verwendung des Git-Knotens. Zu den Workarounds gehören das Ausschließen des Git-Knotens und das Vermeiden des Klonens oder der Interaktion mit nicht vertrauenswürdigen Repositorys unter Verwendung des Git-Knotens. Dieses Problem wurde in Version 1.119.2 behoben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung.

Weltweit wurden mehrere CERT-Hinweise zu einer oder mehreren der oben genannten CVEs veröffentlicht [6][7][8][9][10][11][12][13][14]. Aktive Angriffskampagnen, die diese CVEs ausnutzen, wurden nicht bekannt gegeben. Der OPENVAS ENTERPRISE FEED enthält mehrere Remote-Banner-Versionsprüfungen, um alle oben genannten Schwachstellen zu erkennen [15][16] [17][18][19] sowie die Erkennung vieler anderer CVEs, die n8n betreffen.

n8n Version 2.0 wurde im Dezember 2025 veröffentlicht und ist von den oben genannten CVEs nicht betroffen. n8n-Versionen 0.x und 1.x sollten so schnell wie möglich auf die neueste vollständig gepatchte Version aktualisieren.

CVE-2025-15467: Kritische OpenSSL 3 Schwachstelle

CVE-2025-15467 (CVSS 9,8, EPSS ≥ 71. Perzentil) ist die kritischste unter zwölf neuen Schwachstellen, die das weit verbreitete OpenSSL-Toolkit betreffen. Die Schwachstelle wird ausgenutzt, indem eine bösartige Cryptographic Message Syntax (CMS) [RFC5652] AuthEnvelopedData-Nachricht [RFC5083] unter Verwendung einer AEAD-Verschlüsselung (Authenticated Encryption with Associated Data, z. B. AES-GCM) übermittelt wird, um einen übergroßen ASN.1-codierten Initialisierungsvektor (IV) einzuschleusen.

OpenSSL kopiert den übergroßen IV ohne Längenprüfung in einen Stack-Puffer mit fester Größe [CWE-787]. Das Ergebnis ist ein Stack-Überlauf vor der Authentifizierung, der beliebige RCE und DoS ermöglicht.

CVE-2025-15467 hat keine Auswirkungen auf den täglichen SSL/TLS-Betrieb, da TLS den X.509-Zertifikatsstandard [RFC5280] verwendet. E-Mail-Clients oder Plugins, die S/MIME AuthEnvelopedData aus nicht vertrauenswürdigen eingehenden E-Mails unterstützen, sind jedoch ein Beispiel für eine potenzielle Angriffskette. Eine vollständige technische Beschreibung ist für CVE-2025-15467 verfügbar, was das Risiko der Entwicklung von Exploit-Kits erhöht. Weltweit wurden mehrere nationale CERT-Warnungen für CVE-2025-15467 herausgegeben [1][2][3][4][5][6].

Die zwölf CVEs, die vom Sicherheitsforscher Stanislav Fort veröffentlicht wurden, wurden Berichten zufolge durch eine KI-basierte Softwareanalyse entdeckt. Diese Errungenschaft kommt zu einer Zeit, in der andere Software-Maintainer und Sicherheitsforschende behaupten, dass von KI eingereichte Fehlerberichte (als „AI-Slop” bezeichnet) ihre Fehlerverfolgung effektiv stören [7][8][9][10] und in einigen Fällen sind KI-generierte CVE-Meldungen von vornherein keine gültigen Fehler.

Der OPENVAS ENTERPRISE FEED enthält mehrere Erkennungstests für verschiedene Linux-Distributionen und Windows-Installationen von OpenSSL für CVE-2025-15467 und elf weitere kürzlich bekannt gegebene CVEs. Alle zwölf CVEs betreffen die OpenSSL-Versionen 3.0, 3.3, 3.4, 3.5 und 3.6.0 (veröffentlicht am 1. Oktober 2025) und sind in den Versionen 3.0.19, 3.3.6, 3.4.4, 3.5.5 und 3.6.1 behoben.

Hypervisor-Risiko bleibt Anfang 2026 erhöht

Der letzte Threat Report für 2025 beschrieb einen Anstieg der Cyberangriffe auf Hypervisor-Plattformen Ende 2025. Dieser Trend dürfte sich auch 2026 fortsetzen. Im Januar wurden mehrere hochriskante Schwachstellen für beliebte Virtualisierungsplattformen veröffentlicht. Aufgrund der entscheidenden Rolle von Hypervisoren bei der sicheren Isolierung kritischer Workloads in der Netzwerkinfrastruktur von Unternehmen sollten Patches als oberste Priorität betrachtet werden.

CVE-2024-37079: Aktive Kampagnen gegen VMware-Hypervisoren

Im Threat Report vom Dezember 2025 haben wir einen neuen Intelligence-Bericht von Huntress diskutiert, in dem ein starker Anstieg von Cyberangriffen auf Hypervisoren beschrieben wird. Die Angriffe richteten sich gegen VMWare ESXi, Workstation und Fusion und nutzten CVE-2025-22224 (CVSS 8.2), CVE-2025-22225 (CVSS 8.2) und CVE-2025-22226 (CVSS 6.0) aus, indem sie Code als VMX-Prozess ausführten, aus der VMX-Sandbox entkamen und Speicher aus dem VMX-Prozess leckten. Greenbone enthält eine Vielzahl von Prüfungen zur Erkennung dieser aktiv ausgenutzten CVEs [1][2][3][4].

Im Januar 2026 wurde CVE-2024-37079 (CVSS 9.8), das VMware vCenter Server Versionen 7 und 8 betrifft, in die KEV-Liste der CISA aufgenommen. Die Mitte 2024 veröffentlichte Schwachstelle ermöglicht RCE ohne Authentifizierung, indem eine Heap-Überlauf-Schwachstelle ausgenutzt wird, um einen Speicherzugriff außerhalb der Grenzen auszulösen [CWE-787]. CVE-2024-37080 (CVSS 9.8) wurde zur gleichen Zeit veröffentlicht, wurde jedoch noch nicht in aktiven Angriffen beobachtet. Beide CVEs sind Fehler in der DCERPC-Protokollimplementierung (Distributed Computing Environment Remote Procedure Call) von vCenter. DCERPC ist eine Schlüsseltechnologie für die Fernsteuerung benachbarter Remote-Systeme.

Oracle behebt 11 schwerwiegende VirtualBox-Sicherheitslücken in der ersten Patch-Version von 2026

Die Sicherheitspatch-Version von Oracle vom Januar 2026 enthielt elf schwerwiegende CVEs, die VirtualBox Version 7.1.14 (veröffentlicht am 10. Oktober 2025) und Version 7.2.4 (veröffentlicht am 21. Oktober 2025) betrafen. Die meisten Schwachstellen erfordern lokalen Zugriff. Zu den schwerwiegenden Schwachstellen gehören:

• CVE-2026-21955 (CVSS 8.2): Eine schwerwiegende Schwachstelle, die in der Kernkomponente von Oracle VirtualBox gefunden wurde. Die Schwachstelle ermöglicht es privilegierten lokalen Angreifenden, die Virtualisierungssoftware zu kompromittieren, was zu einer vollständigen Übernahme des VirtualBox-Systems und unbefugtem Zugriff auf kritische Daten führen kann.
• CVE-2026-21956 (CVSS 8.2): Eine Schwachstelle in der Kernkomponente von Oracle VirtualBox, die es privilegierten Angreifenden mit Anmeldeberechtigungen ermöglicht, die Integrität von VirtualBox zu kompromittieren und erheblichen Einfluss auf weitere Produkte zu haben.

Die neuen VirtualBox-Schwachstellen werden nicht als aktiv ausgenutzt eingestuft, und es sind keine öffentlichen PoC-Exploits verfügbar. Weltweit wurden mehrere nationale CERT-Warnungen für das neueste Sicherheitsupdate von Oracle herausgegeben [1][2][3][4][5]. Der OPENVAS ENTERPRISE FEED von Greenbone erkennt alle neu bekannt gewordenen VirtualBox-Schwachstellen in Windows-, Linux- und macOS-Umgebungen [5][6][7]. Sie sollten ihre VirtualBox-Instanz so schnell wie möglich auf eine gepatchte Version aktualisieren.

Weitere bemerkenswerte CVEs mit hohem Risiko aus dem Januar 2026

Hier ist eine kurze Übersicht über weitere CVEs mit hohem Risiko, die im Januar 2026 veröffentlicht wurden:

• BIND9 Denial of Service (CVE-2025-13878, CVSS 7.5): Ermöglicht nicht authentifizierten Angreifenden aus der Ferne, einen DoS in ISC BIND 9 zu verursachen. Es gibt keine Berichte über aktive Ausnutzung oder öffentliche PoC-Exploits. Das Problem betrifft sowohl autoritative Server als auch Resolver und wurde in BIND 9.18.44, 9.20.18 und 9.21.17 behoben [1]. Der OPENVAS ENTERPRISE FEED bietet Paket-Level-Erkennung für eine Vielzahl von Linux-Distributionen und eine Remote-Banner-Prüfung für Windows.
• Kritische GitLab-Sicherheitslücke und mehr (CVE-2025-13761, CVSS 9.6): GitLab hat die Sicherheitsupdates7.1, 18.6.3 und 18.5.5 veröffentlicht, um mehrere Sicherheitslücken in selbstverwalteten Instanzen zu schließen. Der Update-Zyklus umfasste kritische, gespeicherte und reflektierte XSS, die die Ausführung beliebigen JavaScript-Codes in den Browsern der User ermöglichen könnten. Insgesamt könnten die Probleme die Integrität, Vertraulichkeit und Verfügbarkeit der meisten Bereitstellungstypen beeinträchtigen. Admins sollten sofort ein Upgrade durchführen und den schnelllebigen Patch-Zyklus von GitLab genau beobachten. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung aller CVEs in diesem Batch.
• Mehrere kritische CVEs, die CoolLabs Coolify betreffen:Elf neue Schwachstellen, die CoolLabs Coolify betreffen, wurden Anfang Januar 2026 als Gruppe veröffentlicht. Coolify ist ein Open-Source-Tool zur Verwaltung von Servern, Anwendungen und Datenbanken, das selbst gehostet werden kann. Das GitHub-Repository des Projekts weist ~50,5k Sterne, ~3,6k Forks und 575 Mitwirkende auf, was auf eine aktive Präsenz hindeutet. Weitere Details finden Sie auf der GitHub-Sicherheitsseite des Produkts. Der OPENVAS ENTERPRISE FEED bietet Erkennung für alle elf CVEs in der Veröffentlichung.
• Nicht authentifizierter RCE in telnetd (CVE-2026-24061, CVSS 9.8): Die Telnet-Fernzugriffsanwendung gilt seit Jahrzehnten als kritisches Sicherheitsrisiko. Sie bietet keine Verschlüsselung für Daten während der Übertragung, wodurch Angriffe vom Typ „Adversary-in-the-Middle“ (AiTM) [T1157] trivial werden. CVE-2026-24061 deckt jedoch ein noch schwerwiegenderes Risiko auf, das bis zur Version 1.9.3 aus dem Mai 2015 zurückreicht.
• CVE-2026-24061 ist eine Authentifizierungsumgehung inGNU InetUtils telnetd, die es Angreifenden ohne Anmeldedaten ermöglicht, aus der Ferne Root-Zugriff zu erlangen. Mehrere Beschreibungen [1][2] und PoC sind verfügbar [3][4][5], und weltweit wurden zahlreiche CERT-Warnungen herausgegeben [6][7][8][9][10]. Für User, die Legacy-Unterstützung vom Telnet-Dienst benötigen, wurden Patches herausgegeben. Andernfalls sollte sichergestellt werden, dass der Dienst deinstalliert wird, da er auch lokal für die Ausweitung von Berechtigungen ausgenutzt werden kann. Der OPENVAS ENTERPRISE FEED bietet eine Reihe von Paketversionsprüfungen für Linux und eine aktive Prüfung, die für alle Betriebssysteme wirksam ist [11].

Zusammenfassung

Angesichts der zahlreichen Aktivitäten im Bereich der Software-Sicherheitslücken sind die Bedenken globaler Führungskräfte, die in Teil 1 des Bedrohungsberichts vom Januar 2026 diskutiert wurden, nachvollziehbar. Diese Volatilität unterstreicht auch den Wert der branchenführenden Erkennungsabdeckung von Greenbone. Der Januar 2026 war so turbulent, dass er zwei Bedrohungsberichte verdient hat. In Teil 2 des Bedrohungsberichts vom Januar 2026 haben wir eine weitere Gruppe neu auftretender Software-Sicherheitslücken mit hohem Risiko untersucht. Verteidigungsteams, die nach Erkennungs- und Schutzmöglichkeiten suchen, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen kostenlosen Testversion von OPENVAS ENTERPRISE FEED.