Für Sicherheitsverantwortliche, die Fedora einsetzen, gibt es eine gute Nachricht: Greenbones OPENVAS SCAN nun über den OPENVAS ENTERPRISE FEED und den COMMUNITY FEED auch Sicherheitshinweise für Fedora 44 erkennt. Fedora Linux 44 wurde am 28. April 2026 veröffentlicht, und Releases werden in der Regel 13 Monate lang gepflegt. Für Fedora 44 wurde der 19. Mai 2027 als voraussichtliches End-of-Life-Datum (EOL) festgelegt. Die Unterstützung für Fedora 44 erweitert die bestehenden Erkennungsfunktionen von OPENVAS SCAN für Fedora-Sicherheitshinweise bis zurück zu Fedora 7.

OPENVAS SCAN von Greenbone bietet branchenführende Erkennung für gängige Linux-Distributionen über authentifizierte Local Security Checks (LSC). Authentifizierte LSCs sorgen für zuverlässige Erkennung, da sie Endpunktsysteme von innen analysieren, ein Bestandsverzeichnis erstellen, Software-Schwachstellen auf Paketebene aufdecken und andere Sicherheitsfehlkonfigurationen identifizieren.

Sicherheitsverantwortliche, die nach Erkennungs- und Schutzlösungen suchen, können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Fedora 44 Support

Sicherheitsupdates für Betriebssysteme (OS) sind entscheidend für die Aufrechterhaltung einer starken Sicherheitslage im Unternehmen. Eine einzige Schwachstelle kann Angreifenden den initialen Zugang verschaffen, den sie für einen kostspieligen Cyberangriff benötigen. OS-Schwachstellen wirken sich auf alle Aspekte der IT-Infrastruktur aus, einschließlich lokaler und Cloud-Ressourcen, Mitarbeiter-Workstations, Entwicklungsumgebungen, Container-Hosts, Virtualisierungsplattformen und Edge-Infrastruktur. Neue Vorschriften und Compliance-Anforderungen verlangen zudem eine stärkere Verantwortlichkeit und belasten IT-Sicherheitsteams zunehmend. Sicherheitsverantwortliche benötigen einen besseren Überblick über aufkommende Sicherheitsrisiken, um Gegenmaßnahmen effektiv priorisieren zu können.

Unterstützung für Fedora 44-Sicherheitshinweise ist da!

Fedora-Sicherheitshinweise werden über das Fedora Updates System, auch bekannt als Bodhi, veröffentlicht. Jeder Hinweis enthält eine eindeutige Kennung, betroffene Paketversionen, den Update-Status, eine Liste der zugehörigen CVEs, eine allgemeine Schweregradbewertung und den Teststatus für den Patch.

Unternehmen, die Fedora 44 einsetzen, können sich freuen: Greenbones OPENVAS SCAN unterstützt nun die Erkennung von Schwachstellen für Fedora 44-Sicherheitshinweise sowohl im OPENVAS ENTERPRISE FEED als auch im COMMUNITY FEED unterstützt.

• Besuchen Sie die offizielle Website für Fedora-Sicherheitsupdates
• Alle OPENVAS SCAN-Schwachstellentests für Fedora 44 anzeigen

Zusammenfassung

Linux-Systeme bilden das Rückgrat vieler Unternehmensumgebungen und unterstützen kritische Infrastrukturen, Cloud-Plattformen, Mitarbeiter-Workstations, Entwicklungssysteme, Container-Hosts und Produktions-Workloads. Die Aufrechterhaltung der Linux-Sicherheit erfordert einen konsistenten Überblick über Schwachstellen und ein zeitnahes Patch-Management. Ein effektives Schwachstellenmanagement auf Betriebssystemebene verringert das Risiko von Exploits, unterstützt die Einhaltung gesetzlicher Vorschriften und hilft Unternehmen dabei, eine robuste Sicherheitslage aufrechtzuerhalten.

Unternehmen, die Fedora Linux einsetzen, können nun Greenbones OPENVAS SCAN nutzen, um Sicherheitshinweise für Fedora 44 über den OPENVAS ENTERPRISE FEED und den COMMUNITY FEED zu erkennen. Damit gewinnen Sicherheitsverantwortliche bessere Einblicke in Schwachstellen auf Fedora-Systemen und können fehlende Sicherheitsupdates mittels authentifizierter Erkennung auf Paketebene zuverlässig aufdecken.

Mit Fedora 44 ergänzt OPENVAS SCAN die Unterstützung weiterer beliebter Linux-Betriebssysteme, die sowohl im OPENVAS ENTERPRISE FEED als auch im COMMUNITY FEED verfügbar sind, darunter Ubuntu, Debian, Suse, OpenSuse, Huawei EulerOS, OpenEuler und Mageia. Greenbones OPENVAS ENTERPRISE FEED unterstützt weitere Linux-Distributionen, darunter Amazon Linux, Oracle Linux, AlmaLinux OS, FortiOS und viele mehr.

Sicherheitsverantwortliche können Greenbones OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Im April 2026 wurde die Cybersicherheitslandschaft von Nachrichten über Anthropics neue KI zur Fehlersuche namens „Mythos“ und dem Projekt „Glasswing“ überschwemmt. Die optimistische Prognose lautet, dass Software in einem Jahr frei von Schwachstellen sein wird, da die KI alle Fehler finden und die Anbieter Patches bereitstellen werden. Große Softwareunternehmen werden alle ihre Produkte vor der Veröffentlichung scannen, und Software-Schwachstellen werden der Vergangenheit angehören. Die Realität sieht jedoch wahrscheinlich anders aus. Werfen wir einen Blick auf die aktuellen Entwicklungen in der Cybersicherheitslandschaft im April 2026.

April 2026 Threat Report

Obwohl einige der größten Bedrohungen dieses Monats hier erwähnt werden, werden viele neu auftretende Schwachstellen fehlen. OPENVAS SCAN erkennt nicht nur die kritischsten Fehler in Ihrer IT-Umgebung. Der OPENVAS ENTERPRISE FEED fügt jeden Monat Tausende neuer Schwachstellentests hinzu, um Fehler in Unternehmenssoftwareanwendungen, IT-Netzwerkprodukten, gängigen Betriebssystemen und Browsern, Linux-Paketen, Produktivitätswerkzeugen, agentenbasierten KI-Tools und vielem mehr zu erkennen. Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones Einstiegsversion OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

KI-gestützte Schwachstellensuche 2026: Faktencheck zu Project Glasswing

Das Project Glasswing sorgte für einen Medienrummel, doch Transparenz blieb aus. Anthropic gab keine öffentliche Liste heraus, die der Behauptung von „Tausenden von Zero-Day-Schwachstellen“ in „allen gängigen Betriebssystemen“ und „allen gängigen Webbrowsern“ entsprach. Diesen Monat fand VulnCheck lediglich 75 veröffentlichte CVE-Einträge, in denen „Anthropic“ erwähnt wurde, und nur 40 davon wurden Anthropic-Forschern zugeschrieben. Bislang wird nur eine CVE ausdrücklich Project Glasswing zugeschrieben: CVE-2026-4747 (CVSS 8.8).

Das potenzielle Risiko durch offensive KI-Technologie ist hoch. Die dringende Empfehlung der etablierten Cybersicherheitsbehörden SANS Institute und der Cloud Security Alliance (CSA) lautet, dass Unternehmen ihre zentralen Cybersicherheitsmaßnahmen verstärken sollten. Setzen Sie auf robuste Abhilfemaßnahmen und präventive Kontrollen, wie beispielsweise das Prinzip der geringsten Berechtigungen (PoLP), Netzwerksegmentierung zur Verhinderung lateraler Bewegungen, schnellere Patches und seien Sie auf einen möglichen Anstieg hochkritischer CVEs vorbereitet. Wenn zudem potenzielle Zero-Day-Exploits ein hohes Risiko darstellen, sollten Endgeräte mit Erkennungs- und Reaktionstechnologien ausgestattet werden, und Sie sollten darauf vorbereitet sein, kritische Ressourcen mit minimalen Ausfallzeiten neu bereitzustellen. Auch Risiken durch Drittanbieter können sich direkt auf den Betrieb Ihres Unternehmens auswirken. Dies ist eine nüchternere Einschätzung der kurzfristigen Risiken, denen Unternehmen tatsächlich ausgesetzt sind.

CVE-2026-34197: Aktiv ausgenutzte RCE-Schwachstelle in Apache ActiveMQ – sofort patchen

CVE-2026-34197 (CVSS 8.8, EPSS ≥ 98. Perzentil) ist eine durch unsachgemäße Eingabevalidierung verursachte Code-Injection-Sicherheitslücke, die Apache ActiveMQ Classic betrifft. Apache ActiveMQ ist ein beliebter Java-basierter Message Broker, der die asynchrone Kommunikation über Nachrichtenwarteschlangen abwickelt und flexible Client-Optionen unterstützt. CVE-2026-34197 wurde in den Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA aufgenommen und mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5][6][7][8]. Es ist bekannt, dass frühere Schwachstellen in ActiveMQ bei Ransomware-Angriffen ausgenutzt wurden. Eine vollständige technische Beschreibung  sowie ein Proof-of-Concept (PoC)-Exploit-Kit sind öffentlich verfügbar, was das Risiko erhöht. Shadowserver meldet rund 8.000 exponierte Instanzen von ActiveMQ im Internet.

Die neue CVE gilt als Umgehung von CVE-2022-41678 (CVSS 8.8). Die Ausnutzung von CVE-2026-34197 erfordert bei ActiveMQ v6.0.0–6.1.1 keine Anmeldedaten aufgrund einer weiteren ungepatchten Sicherheitslücke durch fehlende Authentifizierung, CVE-2024-32114 (CVSS 8.8). Während für die Ausnutzung anderer Versionen von ActiveMQ eine Authentifizierung erforderlich ist, sind auch Standard-Anmeldedaten ein Faktor für unbefugten Zugriff. Übrigens schrieb der Sicherheitsforscher von Horizon3.ai, der CVE-2026-34197 entdeckte, 80 % des Prozesses einer Claude-AI-Version vor Mythos zu.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung und eine Remote-Banner-Versionsprüfung für CVE-2026-34197. Zur Behebung sollte auf Version 5.19.4 oder 6.2.3 aktualisiert werden.

CVE-2026-34621: Schadhafte PDFs ermöglichen Code-Ausführung in Adobe Acrobat und Reader

CVE-2026-34621 (CVSS 8.6 , EPSS ≥ 92. Perzentil) ist eine Schwachstelle durch Prototyp-Verunreinigung [CWE-1321], die die Ausführung von beliebigem Code im Kontext des aktuellen Benutzers ermöglicht. CVE-2026-34621 kann durch Social Engineering ausgenutzt werden und erfordert das Öffnen einer schädlichen PDF-Datei. CVE-2026-34621 wurde zur KEV-Liste der CISA hinzugefügt und Adobe bestätigte die aktive Ausnutzung in einem Sicherheitsbulletin. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14].

Laut Sicherheitsforschern wird die Schwachstelle seit mindestens Ende 2025 ausgenutzt, wie die Ergebnisse von VirusTotal zeigen. Die Malware decodiert eine Nutzlast per Base64 und führt sie als JavaScript aus, um Informationen vom Computer des Opfers zu extrahieren, einschließlich des Inhalts lokaler Dateien. Anschließend sendet sie die Daten an den Command-and-Control-Server (C2) des Angreifers und wartet auf weitere Anweisungen zur Ausführung. Eine weitere Malware-Analyse ergab, dass Malware, die CVE-2026-34621 ausnutzt, in der Angriffskette mehrere undokumentierte interne APIs in Adobe Acrobat und Reader missbraucht.

Betroffen sind Acrobat DC Continuous 26.001.21367 und frühere Versionen, Acrobat Reader DC Continuous 26.001.21367 und frühere Versionen sowie Acrobat 2024 Classic 2024 24.001.30356 und frühere Versionen unter Windows und macOS. Der OPENVAS ENTERPRISE FEED enthält Erkennungstests für alle betroffenen Produkte unter Windows [15][16][17] und macOS [18][19][20]. Benutzer sollten unverzüglich auf eine gepatchte Version aktualisieren.

CVE-2026-3854: RCE-Schwachstelle in GitHub Enterprise und GitHub.com über Git-Push

CVE-2026-3854 (CVSS 8.8) ermöglicht es einem authentifizierten Angreifer mit Push-Berechtigungen für ein Repository, RCE auf einem Git-Server zu erreichen. Während eines Git-Push-Vorgangs werden vom Benutzer bereitgestellte Werte nicht ordnungsgemäß bereinigt, bevor sie in interne Service-Header aufgenommen werden, was potenziell zu Befehlsinjektion [CWE-77] und RCE führen kann.

Mehrere Git-Produkte, darunter GitHub.com, GitHub Enterprise Server und GitHub Enterprise Cloud, sind betroffen. Eine vollständige technische Beschreibung wurde veröffentlicht, und öffentliche PoC-Exploits wurden von CIRCL.lu gesichtet. Obwohl die öffentliche Infrastruktur von GitHub.com betroffen war, ergab eine interne forensische Untersuchung keine Hinweise auf eine Ausnutzung in freier Wildbahn oder Indikatoren für eine Kompromittierung (IoC).

Der OPENVAS ENTERPRISE FEED enthält eine Erkennung auf Paketebene für GitHub Enterprise Server. Benutzer sollten auf die Versionen 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7 oder 3.19.4 von GitHub Enterprise Server aktualisieren.

Linux-Sicherheitslücken April 2026: Kritische CVEs in PackageKit, etcd, Vim und Flatpak

CVE-2026-41651 (Pack2TheRoot): Privilegieneskalation auf Root über Linux PackageKit

PackageKit ist die D-Bus-API auf Systemebene zur Verwaltung von Softwarepaketen über verschiedene Linux-Paketmanager hinweg, darunter APT, DNF, RPM und Pacman. CVE-2026-41651 (CVSS 8.8), auch „Pack2TheRoot“ genannt, ist eine Angriffskette, die drei separate Fehler zu einer ausnutzbaren Time-of-Check-Time-of-Use (TOCTOU)-Race-Condition kombiniert [CWE-367]. Die Schwachstelle ermöglicht es letztlich nicht-privilegierten Benutzern, beliebige Pakete als Root zu installieren.

Telekom Security hat eine technische Beschreibung veröffentlicht, einschließlich eines detaillierten PoC-Exploits. Weitere PoC-Exploits sind ebenfalls online zu finden [1][2], und weltweit wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3]. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung für CVE-2026-41651, wie in den Linux-Sicherheitshinweisen berichtet. Betroffen sind die PackageKit-Versionen 1.0.2 bis 1.3.4, und Benutzer sollten auf Version 1.3.5 aktualisieren.

CVE-2026-33413: Authentifizierungsumgehung in etcd gefährdet Kubernetes-nahe Cluster

etcd ist ein verteilter Schlüssel-Wert-Speicher, der für die autoritative Datenkoordination in Linux-Umgebungen entwickelt wurde. CVE-2026-33413 (CVSS 8.8) ist eine Schwachstelle durch fehlende Autorisierung [CWE-862] in etcd-Clustern, bei denen auth aktiviert ist. Die Schwachstelle ermöglicht es Angreifern, auf sensible etcd-Funktionen in Clustern zuzugreifen, die die gRPC-API für nicht vertrauenswürdige oder teilweise vertrauenswürdige Clients offenlegen. RCE wird nicht als potenzielle Auswirkung von CVE-2026-33413 beschrieben. Ein Angreifer kann jedoch die Cluster-Topologie ermitteln, einschließlich der Member-IDs und der veröffentlichten Endpunkte, historische Revisionen dauerhaft entfernen, Watch-, Audit- und Wiederherstellungs-Workflows stören oder Denial-of-Service-Zustände (DoS) auslösen.

etcd wird häufig mit Kubernetes in Verbindung gebracht, wo es den autoritativen Status des Clusters speichert, einschließlich Knoten, Pods, Secrets und Metadaten der Steuerungsebene. Da Kubernetes jedoch nicht auf die in etcd integrierte Authentifizierung und Autorisierung zurückgreift, sind typische Kubernetes-Bereitstellungen nicht betroffen.

Deutschland [1] und Frankreich [2] haben nationale CERT-Hinweise zu dieser Schwachstelle herausgegeben. Greenbone enthält eine Remote-Banner-Versionsprüfung zur Erkennung exponierter etcd-Dienste, die von CVE-2026-33413 betroffen sind. Die etcd-Versionen 3.4.42, 3.5.28 und 3.6.9 enthalten einen Patch für CVE-2026-33413.

CVE-2026-34714: Manipulierte Dateien ermöglichen Befehlsausführung in Vim

CVE-2026-34714 (CVSS 8.6) ermöglicht die Ausführung beliebiger Betriebssystembefehle, wenn ein Benutzer eine speziell gestaltete Datei öffnet. Diese Befehle werden mit den Berechtigungen des Benutzers ausgeführt, der die Datei geöffnet hat. CVE-2026-34714 wird als Befehlsinjektionsfehler klassifiziert, der durch die unsachgemäße Neutralisierung spezieller Elemente verursacht wird [CWE-78].

Es gibt keinen öffentlichen PoC-Exploit für CVE-2026-34714, und es wird nicht davon ausgegangen, dass die Schwachstelle in freier Wildbahn ausgenutzt wird. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung für CVE-2026-34714 , wie in Linux-Sicherheitshinweisen berichtet. Die Schwachstelle trat erstmals in Version 9.1.1390 auf und wurde in Version 9.2.0172 behoben.

CVE-2026-34078 (CVSS 10): Vollständiger Sandbox-Escape durch bösartige Flatpak-Apps

CVE-2026-34078 (CVSS 10) ist ein vollständiger Sandbox-Escape des Flatpak-Run-Prozesses, der durch eine ausnutzbare TOCTOU-Race-Condition [CWE-367] verursacht wird, wenn als „sandbox-expose“-Optionen angegebene Dateipfade nach der Überprüfung durch Symlinks ersetzt werden. Sobald „flatpak run“ den ausgetauschten Symlink in der Sandbox einbindet, kann eine bösartige App beliebige Dateien auf dem Host lesen und schreiben und diese unbefugten Privilegien ausnutzen, um Codeausführung zu erlangen.

Es gibt keinen öffentlichen PoC-Exploit für CVE-2026-34078, und es wird nicht davon ausgegangen, dass die Schwachstelle in freier Wildbahn ausgenutzt wird. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung für CVE-2026-34078, wie in den Linux-Sicherheitshinweisen berichtet. Flatpak sollte auf Version 1.16.4 aktualisiert werden.

Microsoft Patch Tuesday April 2026: 173 CVEs, zwei Zero-Days aktiv ausgenutzt

Ein umfangreicher Patch Tuesday umfasste 173 neue Sicherheitslücken in den Kernprodukten von Microsoft. Neunzehn wurden als „Exploitation More Likely“ eingestuft, und zwei wurden umgehend in die KEV-Liste der CISA aufgenommen. Eine weitere kritische Schwachstelle, CVE-2026-40372 (CVSS 9.1), wurde außerhalb des regulären Zeitplans offengelegt. Zudem hat ein verärgerter Sicherheitsforscher den koordinierten Offenlegungsprozess mit Microsoft abgebrochen und PoC-Exploit-Code für eine ansonsten nicht offengelegte und ungepatchte Schwachstelle veröffentlicht.

Werfen wir einen Blick auf einige dieser neuen, hochriskanten Microsoft-Sicherheitslücken:

• CVE-2026-33825 (CVSS 7.8, EPSS ≥ 87. Perzentil): Eine lokale Rechteausweitung (LPE) in Microsoft Defender ermöglicht es einem lokalen Benutzer, Berechtigungen auf SYSTEM-Ebene zu erlangen. Die als „BlueHammer“ bezeichnete Schwachstelle wurde Berichten zufolge von einem verärgerten Sicherheitsforscher offengelegt, zusammen mit einem PoC-Exploit. Technische Analysen wurden ebenfalls veröffentlicht [1][2]. BlueHammer wird in der Wildnis ausgenutzt und wurde die KEV-Liste der CISA aufgenommen. Zwei weitere Zero-Days, die von dem verärgerten Forscher offengelegt wurden und die Namen RedSun und UnDefend tragen, sind von Microsoft nach wie vor ungepatcht, obwohl es PoC-Exploits gibt [3][4] und sie bei aktiven Angriffen beobachtet wurden.
• CVE-2026-32201 (CVSS 6.5): Eine neue aktiv ausgenutzte Schwachstelle in Microsoft SharePoint Server, verursacht durch eine unsachgemäße Eingabevalidierung [CWE-20], ermöglicht es einem unbefugten Angreifer, Spoofing über ein Netzwerk durchzuführen. Technische Details zu CVE-2026-32201 sind nicht öffentlich verfügbar, und es existiert kein öffentlicher PoC-Exploit. Frühere SharePoint-Schwachstellen wurden bereits von hochentwickelten staatlich gestützten Angreifern ausgenutzt [5][6][7]. CVE-2026-32201 folgt kurz auf eine weitere SharePoint Schwachstelle, CVE-2026-20963 (CVSS 9.8, EPSS ≥ 90. Perzentil), die im April 2026 in die KEV der CISA aufgenommen wurde.
• CVE-2026-32202 (CVSS 4.3, EPSS ≥ 92. Perzentil): Ein Fehler im Schutzmechanismus [CWE-693] in der Windows-Shell ermöglicht es einem unbefugten Angreifer, die Sicherheitskontrollen von Microsoft Defender aus der Ferne zu umgehen. Die Schwachstelle wurde in die KEV-Liste der CISA Ein detaillierter technischer Bericht von Akamai zeigt, dass CVE-2026-32202 ein unvollständiger Patch für CVE-2026-21510 (CVSS 8.8) ist, der bereits von APT-28 aktiv ausgenutzt wurde.
• CVE-2026-40372 (CVSS 9.1): Änderungen, die in Version 10.0.6 des AspNetCore.DataProtection-Pakets in .NET Core eingeführt wurden, führten bei einigen Benutzern zu Fehlern bei der Entschlüsselung von Geheimnissen [8][9]. Nach einer Untersuchung stellte Microsoft fest, dass das Update es unbefugten Angreifern auch ermöglicht, über ein Netzwerk Berechtigungen zu erweitern. Technische Details zu CVE-2026-40372 sind nicht öffentlich verfügbar, und es existiert kein öffentlicher PoC-Exploit. Die Versionen 10.0.0 bis 10.0.6 sind von CVE-2026-40372 betroffen, und Benutzer sollten die .NET Core-Laufzeitumgebung auf Version 10.0.7 und das .NET Core SDK auf Version 10.0.107 oder 10.0.203 aktualisieren.

Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung aller oben genannten Microsoft-CVEs sowie regelmäßig aktualisierte, speziell auf Microsoft-Produkte ausgerichtete Familien von Erkennungstests.

CVE-2026-2699 (CVSS 9.8): Nicht authentifizierte RCE in Progress ShareFile – PoC verfügbar

CVE-2026-2699 (CVSS 9.8, EPSS ≥ 96. Perzentil) ermöglicht nicht authentifizierten Lese- und Schreibzugriff auf eingeschränkte Konfigurationsseiten auf dem Progress ShareFile Storage Controller. Die Schwachstelle ermöglicht das Ändern von Systemkonfigurationen und potenziell nicht authentifizierte RCE. CVE-2026-2701 (CVSS 8.8, EPSS ≥ 70. Perzentil) hat ähnliche Auswirkungen für authentifizierte Benutzer; ein authentifizierter Angreifer kann eine schädliche Datei hochladen und ausführen, was zu RCE führen kann.

Die Produkte von Progress Software waren in der Vergangenheit häufig Ziel von Ransomware-Angriffen [1][2][3][4]. Obwohl noch keine der beiden CVEs als aktiv ausgenutzt gilt, hat watchTowr Labs einen vollständigen technischen Bericht veröffentlicht , der beide CVEs abdeckt und PoC-Exploit-Code enthält. Daten von ShadowServer zeigen, dass sich die Mehrheit der öffentlich exponierten Instanzen auf die Vereinigten Staaten konzentriert. Italien [5] und Frankreich [6] haben CERT-Warnungen für die beiden neuen CVEs herausgegeben.

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Exploitability-Prüfung für CVE-2026-2699 und eine Remote-Banner-Prüfung, die sowohl CVE-2026-2699 als auch CVE-2026-2701 abdeckt. Alle Versionen des Progress ShareFile StorageZones Controllers vor 5.12.4 sind betroffen.

CVE-2025-59528 (CVSS 10): Code-Injection in Flowise wird aktiv ausgenutzt

CVE-2025-59528 (CVSS 10, EPSS ≥ 99. Perzentil) ist eine Code-Injection-Sicherheitslücke [CWE-94], die Flowise vor Version 3.0.6 betrifft. Benutzerdefinierte Konfigurationseinstellungen aus dem CustomMCP-Knoten werden direkt an den Function()-Konstruktor übergeben, der JavaScript-Ausdrücke ohne Sicherheitsüberprüfung ausführt. CustomMCP läuft mit Node.js-Laufzeitrechten und hat Zugriff auf gefährliche Module wie child_process und fs.

CVE-2025-59528 wurde im September 2025 offengelegt, doch die Schwachstelle erlangte diesen Monat unter [1][2][3] größere Aufmerksamkeit, als berichtet wurde, dass sie aktiv ausgenutzt wird. Bemerkenswert ist, dass der Anbieter zum Zeitpunkt der Veröffentlichung PoC-Exploit-Code offenlegte. Der OPENVAS ENTERPRISE FEED enthält seit der Veröffentlichung eine Remote-Banner-Versionsprüfung für CVE-2025-59528 sowie zahlreiche Tests für andere Flowise-CVEs und ein Produkt-Erkennungsmodul für Flowise. Benutzer sollten auf Version 3.0.6 aktualisieren.

CVE-2026-33785: Authentifizierte RCE-Schwachstelle in Juniper Networks Junos OS (MX-Serie)

CVE-2026-33785 (CVSS 8.8) ermöglicht es einem lokalen, authentifizierten Benutzer mit geringen Berechtigungen, gefährliche Befehle über die CLI auf dem Juniper Networks Junos OS der MX-Serie auszuführen. Eine Ausnutzung könnte zu einer vollständigen Kompromittierung der verwalteten Geräte führen. Die Ursache ist eine fehlende Autorisierung [CWE-862] für csds-Anfragen, die nur von Benutzern mit hohen Berechtigungen ausgeführt werden dürfen.

CVE-2026-33785 wird nicht als aktiv ausgenutzt angesehen, und PoC-Exploit-Code ist nicht öffentlich verfügbar. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-33785 sowie eine Erkennungsreihe für viele weitere Schwachstellen in Produkten von Juniper Networks. CVE-2026-33785 betrifft Junos OS auf der MX-Serie, 24.4-Versionen vor 24.4R2-S3 und 25.2-Versionen vor 25.2R2. Dieses Problem betrifft keine Junos OS-Versionen vor 24.4.

CVE-2026-3502 (TrueChaos): Supply-Chain-Angriff auf TrueConf-Clients in Südostasien

CVE-2026-3502 (CVSS 7.8, EPSS ≥ 85. Perzentil) ermöglicht es einem Angreifer, der den Übertragungsweg von Updates an TrueConf-Client-Anwendungen beeinflussen kann, ein manipulierte Update-Payload einzuschleusen und auszuführen. TrueConf ist eine Produktfamilie für Videokonferenzen und Unified Communications, die häufig vor Ort in privaten Netzwerken für sichere, souveräne Kommunikation eingesetzt wird.

CVE-2026-3502 wurde in die KEV-Liste der CISA aufgenommen, und Check Point veröffentlichte Details zu mindestens einer Angriffskampagne mit dem Namen „TrueChaos“, die auf Regierungsbehörden eines nicht namentlich genannten südostasiatischen Landes abzielte. Das manipulierte Update aktualisierte den Client des Opfers sogar von 8.5.1 auf 8.5.2, um keinen Verdacht zu erregen.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine authentifizierte Registrierungsprüfung zur Identifizierung anfälliger Installationen des TrueConf-Clients. Alle Versionen vor 8.5.3.884 sind betroffen, und Benutzer sollten den TrueConf-Client auf Version 8.5.3.884 oder höher aktualisieren.

Fazit: KI verändert das Schwachstellenmanagement – was Sicherheitsteams jetzt tun müssen

Die KI-gestützte Erkennung von Sicherheitslücken hat zu einem rasanten Anstieg der monatlich veröffentlichten CVEs geführt. Dieser Anstieg spiegelt eine Kombination aus KI-Fehlern und legitimen, kritisch eingestuften Schwachstellen in weit verbreiteter Unternehmenssoftware. Anthropics Mythos könnte zu weiteren Offenlegungen mit erheblichen Auswirkungen führen, doch bislang fehlen dafür konkrete Belege. Das SANS Institute und die CSA haben Unternehmen geraten, ihre Anstrengungen im Bereich der zentralen Cybersicherheitskontrollen zu verdoppeln.

Sicherheitsverantwortliche sollten kontinuierliche Schwachstellenmanagement-Programme einsetzen, um das Risiko zu minimieren. OPENVAS SCAN liefert mit dem OPENVAS ENTERPRISE FEED eine branchenführende Abdeckung von Sicherheitslücken. Greenbone entwickelt monatlich Tausende neue Schwachstellentests, um Fehler in Unternehmenssoftwareanwendungen, IT-Netzwerkprodukten, gängigen Betriebssystemen und Browsern, Linux-Paketen, Produktivitätswerkzeugen, agentenbasierten KI-Tools und vielem mehr aufzudecken. Sicherheitsverantwortliche, die Schwachstellen aufspüren und Schutzmaßnahmen ergreifen möchten, können Greenbones Einstiegsprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

Bis vor kurzem konnten digitale Produkte auf dem europäischen Markt eingeführt werden, ohne dass ihnen im Wesentlichen verbindliche Cybersicherheitsstandards auferlegt wurden. Die Hersteller entschieden selbst, wie viel Sicherheit sie einbauten, und Käufer hatten keine Garantien und keine Möglichkeit zum Vergleich. Wenn Schwachstellen auftraten, bestand keine gesetzliche Verpflichtung, diese zu melden oder zu beheben. Produkte konnten ohne Vorankündigung vom Markt genommen werden, wodurch sie anfällig für Cyberangriffe blieben.

Der Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die Cybersicherheit als Grundvoraussetzung für die Markteinführung digitaler Produkte vorschreibt. Er wurde im Oktober 2024 verabschiedet, und seine wichtigsten Verpflichtungen treten im September 2026 in Kraft.[1] Wenn Sie ein digitales Produkt herstellen oder vertreiben, das auf dem EU-Markt verkauft wird, gilt diese Verordnung für Sie.

Was bedeutet „Cyber-Resilienz”?

Cyber-Resilienz bezeichnet die Fähigkeit, negative Cybersicherheitsereignisse zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen. Der CRA setzt Cyber-Resilienz auf Marktebene um, indem er allgemeine Cybersicherheitserwartungen in rechtlich durchsetzbare Produktverpflichtungen umwandelt. Produkte müssen so konzipiert sein, dass sie gegen Angriffe widerstandsfähig sind, und Hersteller müssen Schwachstellen während des gesamten Lebenszyklus ihres Produkts aktiv verwalten.

Was ist ein „Produkt mit digitalen Elementen“?

Der CRA verwendet den Begriff „Produkt mit digitalen Elementen“, um seinen Anwendungsbereich zu definieren. Ein Produkt mit digitalen Elementen ist definiert als jedes Software- oder Hardwareprodukt – sowie dessen Lösungen zur Fernverarbeitung von Daten –, das sich direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbinden kann [2]. Alles in allem umfasst dies praktisch jede Software, die auf einem Standard-Desktop-Computer, Laptop oder Mobiltelefon läuft, und sogar einfache Hardwaregeräte wie eine TV-Fernbedienung.

Zu den wichtigsten Produktgruppen gehören:

• Unternehmenssoftwareplattformen: ERP-Systeme, CRM-Software, Sicherheitstools und Kollaborationsplattformen
• Consumer-Hardware: Smart-Home-Geräte, vernetzte Haushaltsgeräte, Router und IP-Kameras
• Industrieprodukte: SPS, SCADA-Systeme, industrielle Sensoren und vernetzte Maschinen
• Entwicklertools: IDEs, CI/CD-Plattformen und Build-Tools mit Netzwerkkonnektivität
• Betriebssysteme: Desktop-, Server- und Embedded-OS-Produkte

Wer muss die Vorschriften einhalten?

Der CRA legt die Hauptpflicht bei den Herstellern: den juristischen Personen, die Produkte mit digitalen Elementen entwerfen, entwickeln oder produzieren und diese unter ihrem eigenen Namen oder ihrer eigenen Marke auf dem EU-Markt in Verkehr bringen. Doch damit ist es nicht getan. Auch Importeure und Händler tragen Verpflichtungen. Wenn Sie ein Produkt eines Drittanbieters auf den EU-Markt bringen oder es innerhalb der EU verfügbar machen, sind Sie dafür verantwortlich, zu überprüfen, ob es die CRA-Anforderungen erfüllt.

Der CRA gilt unabhängig davon, wo Sie ansässig sind. Ein US-amerikanischer Softwareanbieter, der an EU-Kunden verkauft, fällt in den Geltungsbereich. Werden die Produkte eines Nicht-EU-Herstellers von einem europäischen Vertreiber in der EU verkauft, tragen beide Parteien Verpflichtungen – der Hersteller als für das Produkt verantwortliche Stelle und der Vertreiber als Stelle, die es auf dem EU-Markt bereitstellt.

Die Höchststrafe für Verstöße gegen den CRA beträgt 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – Zahlen, die die Aufmerksamkeit der Unternehmensleitung schnell auf sich ziehen.

Was fällt ausdrücklich nicht in den Geltungsbereich?

• Produkte, die unter gleichwertige branchenspezifische Rechtsvorschriften fallen, wie bestimmte Medizinprodukte, Luftfahrtausrüstung und Kraftfahrzeuge, bei denen bestehende Vorschriften vergleichbare Cybersicherheitsanforderungen vorsehen
• Rein nichtkommerzielle Open-Source-Software (der CRA gilt weiterhin für Open-Source-Komponenten kommerzieller Produkte und Open-Source-Verwalter)
• Produkte im Bereich der nationalen Sicherheit, der Nachrichtendienste und des Militärs
• Produkte, die nicht auf dem Markt erhältlich sind und ausschließlich für bestimmte Zwecke entwickelt wurden, wie z. B. Evaluierungsprototypen

Was verlangt der CRA konkret?

Im Kern verlangt der CRA von den Herstellern vier Dinge:

1. Sichere digitale Produkte entwickeln: Produkte von Anfang an unter Berücksichtigung der Cybersicherheit entwerfen, entwickeln und produzieren – nicht erst nachträglich. Produkte müssen ohne bekannte ausnutzbare Schwachstellen, mit minimaler Angriffsfläche und in einer sicheren Standardkonfiguration ausgeliefert werden.
2. Aktive Unterstützung der Produktsicherheit: Kostenlose Bereitstellung von Sicherheitsupdates für mindestens fünf Jahre. Verantwortungsvolle Dokumentation und Verwaltung von Sicherheitslücken. Führung einer Software-Stückliste (SBOM), in der alle Softwarekomponenten aufgeführt sind.
3. Ausgenutzte Schwachstellen melden: Ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden und innerhalb von 72 Stunden vollständige technische Details übermitteln. [3]
4. Konformität bewerten und nachweisen: Führen Sie vor der Markteinführung eine Cybersicherheits-Risikobewertung durch. Bewahren Sie die technische Dokumentation 10 Jahre lang auf. Bringen Sie die CE-Kennzeichnung an, um die Konformität nachzuweisen. [4]

Die Frist im September 2026: Warum sie jetzt wichtig ist

Die meisten Hersteller konzentrieren sich auf das Datum der vollständigen Durchsetzung im Dezember 2027 – doch die unmittelbar dringlichere Frist ist der 11. September 2026, mit dem die Meldepflichten für Sicherheitslücken beginnen. Das ist in weniger als fünf Monaten. Ab diesem Datum muss jede aktiv ausgenutzte Sicherheitslücke in Ihren Produkten innerhalb von 24 Stunden einen formellen Meldeprozess an die europäischen Cybersicherheitsbehörden auslösen. [5]

Der Aufbau und das Testen des internen Prozesses dafür erfordern Vorbereitung. Nicht nur ein Richtliniendokument, sondern ein tatsächlicher operativer Arbeitsablauf mit Tools, Eskalationswegen und Mitarbeiterschulungen. Für Sicherheits- und Technikleiter ist der September 2026 die Frist, die Budgetgespräche jetzt rechtfertigt – nicht erst nach dem Datum der vollständigen Durchsetzung im Jahr 2027, wenn das Zeitfenster für eine geordnete Umsetzung bereits geschlossen sein wird.

Was die CRA-Konformität in der Praxis tatsächlich erfordert

Die Erfüllung dieser Verpflichtungen erfordert eine technische Grundlage: Sie müssen wissen, welche Komponenten in Ihren Produkten enthalten sind, nachverfolgen, welche CVEs diese betreffen, und über eine Möglichkeit verfügen, Prioritäten für die Behebung von Schwachstellen zu setzen. In der Praxis bedeutet dies, dass Tools für das Schwachstellenmanagement in Ihre Pipeline integriert werden müssen – nicht als reine Compliance-Maßnahme, sondern als kontinuierlicher Prozess, der einen CRA-konformen Prüfpfad erzeugt. Der CRA schreibt kein bestimmtes Tool vor, sondern das Ergebnis: eine dokumentierte, nachvollziehbare und wiederholbare Schwachstellenbehandlung.

Richtig umgesetzt können diese Prozesse auch den Arbeitsalltag der Entwickler weniger chaotisch gestalten: weniger Notfall-Patch-Zyklen, umsetzbare Warnmeldungen statt einer Flut von rohen CVE-Daten und klare Prioritäten bei der Triage, sodass das Team das behebt, was tatsächlich wichtig ist, anstatt alles auf einmal.

Wenn Sie gerade planen, wie dieser Prozess in Ihrem Unternehmen aussehen soll, werden unsere kommenden Beiträge die Kernkomponenten eines CRA-fähigen Schwachstellenmanagement-Workflows behandeln – einschließlich dessen, was eine SBOM enthalten muss, wie die Bewertung der Ausnutzbarkeit in der Praxis funktioniert und wo Open-Source-Tools ins Spiel kommen.

Anfang April gab Cisco zwei CVEs mit kritischem Schweregrad sowie weitere Schwachstellen mit hohem und mittlerem Schweregrad bekannt. Insgesamt ermöglichen die Schwachstellen eine Umgehung der Authentifizierung, Rechteausweitung auf ein Adminkonto, die Ausführung von Remote-Code (RCE) ohne Authentifizierung mit Root-Rechten, die Offenlegung von Informationen sowie Denial-of-Service-Zustände. Bei den beiden kritischen Schwachstellen handelt es sich um CVE-2026-20160 (CVSS 9,8), die Cisco Smart Software Manager On-Prem (SSM On-Prem) betrifft, und CVE-2026-20093 (CVSS 9,8), die Cisco Integrated Management Controller (IMC) betrifft.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält seit der Bekanntgabe der Schwachstellen die Erkennung von CVE-2026-20160 und CVE-2026-20093 und hilft Sicherheitsverantwortlichen so, diese sich entwickelnden Bedrohungen abzuwehren. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und sich davor schützen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

Cisco SSM & IMC Schwachstellen

CVE-2026-20160 und CVE-2026-20093 stellen erhebliche Bedrohungen für die Unternehmens-IT dar. Obwohl SSM On-Prem und IMC interne Netzwerkdienste sind, die nicht für die Öffentlichkeit bestimmt sind, könnten diese CVEs Angreifenden, die sich bereits heimlich Zugang verschafft haben, die Möglichkeit bieten, sich lateral zu wertvollen Assets zu bewegen.

Cisco IMC birgt ein besonders hohes Risiko, da es in physische Server- und Edge-Plattformen eingebettet ist, die sich oft in der Nähe der zentralen Unternehmens-Workloads befinden. Mit erreichtem Adminzugriff können Angreifende möglicherweise Dienste stören, in benachbarte Netzwerke vordringen oder das kompromittierte Gerät als Ausgangspunkt nutzen, um sensible interne Systeme anzugreifen. Wenn ein Zielnetzwerk nicht streng nach Abteilungen segmentiert ist oder wenn Zugriffskontrollen nicht streng nach dem Prinzip der geringsten Berechtigungen eingeschränkt sind, erhöht sich das Risiko zusätzlich.

Werfen wir nun einen Blick auf die beiden neuen kritischen CVEs mit und anschließend einige weitere CVEs, die Anfang April 2026 veröffentlicht wurden.

CVE-2026-20160 (CVSS 9.8): Unauthentifizierte RCE in Cisco SSM On-Prem

Ein offengelegter interner Dienst ermöglicht es nicht authentifizierten Angreifenden, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. CVE-2026-20160 kann über HTTP-Anfragen an die API des offengelegten Dienstes ausgenutzt werden. Die Schwachstelle ist im Wesentlichen eine unsachgemäße Zugriffskontrolle, die Cisco als „Exposure of Resource to Wrong Sphere“ [CWE-668] klassifiziert hat. Betroffen sind die Versionen 9-202502 bis 9-202510 von Cisco Smart Software Manager On-Prem (SSM On-Prem).

Cisco SSM On-Prem ist ein lokal installierter Server zur Softwarelizenzverwaltung, der als virtuelle Maschine bereitgestellt wird. SSM On-Prem stellt eine Web-Benutzeroberfläche auf Port 8443 für Verwaltungs- und Lizenzierungsabläufe bereit. SSM On-Prem fungiert als lokaler Smart Licensing Manager für Cisco-Produkte, anstatt dass diese eine direkte Verbindung zum cloudbasierten Smart Software Manager von Cisco herstellen müssen.

Zu CVE-2026-20160 wurden mehrere nationale CERT-Hinweise veröffentlicht [1][2][3][4][5][6][7][8]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung zur Identifizierung betroffener Instanzen [9]. Es wird empfohlen, auf Version 9-202601 oder höher zu aktualisieren. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

CVE-2026-20093 (CVSS 9.8): Authentifizierungsumgehung im Cisco IMC

Eine unsachgemäße Eingabevalidierung [CWE-20] kann bei Passwortänderungsanfragen an den IMC zu einer Umgehung der Authentifizierung führen. Angreifende könnten diese Schwachstelle aus der Ferne über HTTP-Anfragen ausnutzen, um die Passwörter beliebiger Konten im System (einschließlich des Adminkontos) zu ändern und sich damit Zugriff auf das System zu verschaffen.

Cisco IMC ist ein eingebetteter Baseboard Management Controller (BMC), der in Cisco UCS-Rack- und Speicherserverplattformen integriert ist. Die Kernfunktion von Cisco IMC ist die Out-of-Band-Serververwaltung physischer Server, wenn diese im Standalone-Modus über den Redfish-RESTful-API-Standard, SNMP, IPMI v2.0 oder die Cisco IMC XML-API betrieben werden. Mehrere physische Serverprodukte von Cisco sind betroffen, sofern sie den Cisco Integrated Management Controller (IMC) enthalten:

• Enterprise Network Compute Systems (ENCS) der Serie 5000
• Catalyst 8300 Series Edge uCPE
• UCS C-Serie M5- und M6-Rack-Server im Standalone-Modus
• UCS-Server der E-Serie M3
• UCS-Server der E-Serie M6

Zu CVE-2026-20093 wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung [9] und eine Remote-Banner-Versionsprüfung [10] für Geräte, die von CVE-2026-20093 betroffen sind. Weitere Informationen, einschließlich einer Liste der behobenen Versionen für betroffene Produkte, finden Sie in der offiziellen Sicherheitswarnung von Cisco.

Weitere Cisco-Schwachstellen: Hoher und mittlerer Schweregrad

Cisco hat außerdem mehrere Schwachstellen mit hohem und mittlerem Schweregrad offengelegt, die das Risiko für Unternehmenskundschaft erhöhen. Zwar erfordern alle unten aufgeführten CVEs einen gültigen Kontozugang, um ausgenutzt zu werden, doch ist der Diebstahl von Anmeldedaten eine gängige Taktik, die bei vielen raffinierten Cyberangriffen zum Einsatz kommt. Wenn diese Schwachstellen nicht gepatcht werden, könnten sie dennoch zur Ausführung von Befehlen, zur Rechteausweitung, zu Denial-of-Service-Angriffen oder zur Offenlegung sensibler Informationen führen.

• CVE-2026-20094 (CVSS 8.8): Eine Sicherheitslücke durch Befehlsinjektion aufgrund einer unzureichenden Validierung von Benutzereingaben [CWE-77] ermöglicht es authentifizierten Angreifenden aus der Ferne mit Lesezugriff, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. Die Sicherheitslücke kann über HTTP-Anfragen ausgenutzt werden. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20155 (CVSS 8.0): Unsachgemäße Autorisierungsprüfungen [CWE-862] an einem API-Endpunkt ermöglichen es authentifizierten Angreifenden aus der Ferne mit geringen Berechtigungen, ohne Autorisierung auf sensible Informationen zuzugreifen. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle von Cisco Evolved Programmable Network Manager (EPNM)-Geräten vor Version 8.1.2 für alle Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20151 (CVSS 7.3): Aufgrund der unsachgemäßen Übertragung sensibler Benutzerinformationen [CWE-201] können Angreifende Sitzungsanmeldedaten aus Statusmeldungen abrufen, um ihre Berechtigungen von einem Konto mit geringen Berechtigungen auf Administratorrechte zu erhö Betroffen sind SSM On-Prem Version 9-202510 und frühere Versionen in allen Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20095 (CVSS 6.5): Aufgrund einer unsachgemäßen Validierung von Benutzereingaben können authentifizierte Remote-Nutzende beliebigen Code oder Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem eines betroffenen Systems ausführen und seine Berechtigungen erweitern. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20096 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS der Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20097 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20110 (CVSS 6.5): Eine Schwachstelle in der CLI der Cisco IOS XE-Software könnte es authentifizierten lokalen Angreifenden ermöglichen, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Diese Schwachstelle besteht, weil dem Befehl „start maintenance“ falsche Berechtigungen zugewiesen sind. Alle Versionen der Cisco IOS XE-Software sind betroffen, sofern der Befehl „start maintenance“ unterstützt wird. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

Cisco hat den CVEs 2026-20095, 2026-20096 und 2026-20097 eine Sicherheitsauswirkungsbewertung (SIR) von „Hoch“ zugewiesen, was über ihrer CVSS-Einstufung von „Mittel“ liegt, da zusätzliche Sicherheitsauswirkungen bestehen, wenn Root-Zugriff erlangt wird. Der OPENVAS ENTERPRISE FEED enthält Erkennungstests für alle oben genannten CVEs [1][2][3][4][5].

Zusammenfassung

Die Sicherheitsmitteilungen von Cisco von Anfang April 2026 weisen auf ein erhöhtes Risiko bei mehreren Produkten hin. Dazu gehören der SSM On-Prem-Lizenzverwaltungsserver des Anbieters und der Cisco Integrated Management Controller (IMC), was eine Vielzahl physischer Hardwareprodukte betrifft, darunter Cisco UCS-Rack- und Speicherserverplattformen. Die schwerwiegendsten neuen Schwachstellen ermöglichen eine Umgehung der Authentifizierung und unauthentifizierte RCE mit Root-Rechten.

Obwohl eine öffentliche Ausnutzung noch nicht bestätigt wurde, handelt es sich bei den betroffenen Systemen um hochwertige interne Ressourcen, die attraktive Ziele für fortgeschrittene persistente Bedrohungsakteure (APT) darstellen. Unternehmen sollten prüfen, ob sie diesen und anderen Software-Schwachstellen ausgesetzt sind, und der Installation von Patches Priorität einräumen. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.