März 2026 Threat Report: Kritische Schwachstellen in Unternehmensnetzwerken

In diesem Monat wurden neue Cybersicherheitsrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen aufgedeckt. Neue kritische Sicherheitslücken traten in Peripherie-Netzwerkgeräten und Kernnetzwerkgeräten auf. Zu den weiteren Risiken zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, Kernkomponenten von Betriebssystemen und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

CitrixBleed 3 (CVE-2026-3055): Memory-Disclosure-Angriff auf Citrix NetScaler ohne Authentifizierung

CVE-2026-3055 (CVSS 9.3) ist eine Speicheroffenlegungsschwachstelle, die aus der Ferne und ohne Authentifizierung ausgenutzt werden kann. Die Ursache ist eine unzureichende Eingabevalidierung, die einen Speicherzugriff außerhalb des zulässigen Bereichs ermöglicht [CWE-125]. Die Schwachstelle betrifft NetScaler ADC- und NetScaler Gateway-Appliances, die als SAML-Identitätsanbieter (IDP) konfiguriert sind, was Berichten zufolge eine gängige Single-Sign-On-Konfiguration (SSO) ist.

Drei Tage nach der Offenlegung wurde von aktiven Erkundungsversuchen nach Authentifizierungsmethoden im Endpunkt /cgi/GetAuthMethods berichtet. Am 30. März wurde CVE-2026-3055 in die KEV-Liste der CISA aufgenommen und von anderen Quellen als aktiv ausgenutzt gemeldet. Eine vollständige technische Analyse mit Exploit-Code wurde veröffentlicht. Die Schwachstelle ähnelt früheren Speicherleck-Schwachstellen, die Netscaler ADC und Gateway betreffen und als CitrixBleed und CitrixBleed 2 bezeichnet werden, deren Nutzung für den Erstzugriff gut dokumentiert ist [1][2][3][4]. Mehrere nationale Cybersicherheitsbehörden haben Warnungen zu den neuen CVEs herausgegeben [5][6][7][8][9][10][11][12][13][14][15][16][17][18].

Citrix meldete in demselben Bericht eine weitere Schwachstelle mit hohem Schweregrad. CVE-2026-4368 (CVSS 7.7) ist ein Race-Condition-Fehler, der bei Gateway- oder AAA-Virtual-Server-Konfigurationen zu einer Verwechslung von Benutzersitzungen führen kann. Weitere Informationen, einschließlich der betroffenen Versionen für beide neuen CVEs, finden Sie im offiziellen Sicherheitshinweis. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung zur Identifizierung von Appliances, die potenziell anfällig für CVE-2026-3055 [19] sind, sowie eine ähnliche Prüfung für CVE-2026-4368 [20].

Microsoft SharePoint RCE (CVE-2026-20963) aktiv ausgenutzt – RegPwn und weitere kritische Windows-Schwachstellen

CVE-2026-20963 (CVSS 8,8, EPSS ≥ 91. Perzentil), das Microsoft SharePoint betrifft und im Januar 2026 veröffentlicht wurde, wurde im März in die KEV-Liste der CISA aufgenommen. Die Schwachstelle wird durch eine unsachgemäße Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] verursacht und könnte authentifizierten Angreifenden die Ausführung von beliebigem Remote-Code (RCE) ermöglichen. Die Schwachstelle erregte weltweit Aufmerksamkeit bei nationalen CERT-Behörden [1][2][3][4][5][6][7][8][9][10][11]. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung für Microsoft SharePoint Server 2019 und Microsoft SharePoint Enterprise Server 2016 [12][13].

Weitere schwerwiegende Risiken, die Microsoft-Produkte im März 2026 betreffen, sind:

• CVE-2026-24291 (CVSS 7.8): Eine fehlerhafte Berechtigungszuweisung für eine kritische Ressource [CWE-732] in der Windows Accessibility Infrastructure (ATBroker.exe) ermöglicht es autorisierten lokalen Angreifenden, Berechtigungen zu erweitern und Windows-Registrierungsschlüssel zu ändern. Unter dem Namen „RegPwn“ sind vollständige technische Beschreibungen [14][15] und Proof-of-Concept-Exploit-Code öffentlich verfügbar, was das Risiko erhöht. Der OPENVAS ENTERPRISE FEED umfasst Registrierungsprüfungen zur Erkennung von Schwachstellen in allen Windows-Betriebssystemversionen.
• CVE-2026-26110 (CVSS 7.8): Eine Schwachstelle durch Typverwechslung [CWE-843] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung der Paketversion für Windows- und macOS-Versionen von Microsoft Office [16][17].
• CVE-2026-26113 (CVSS 7.8): Eine Sicherheitslücke durch Dereferenzierung eines nicht vertrauenswürdigen Zeigers [CWE-822] in Microsoft Office ermöglicht es unbefugten lokalen Angreifenden, beliebigen Code mit hohen Berechtigungen auszuführen. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von Paketversionen für Windows- und macOS-Versionen von Microsoft Office [16][17] sowie SharePoint für Windows [18][19].

Langflow KI-Plattform: Unauthentifizierte Remote Code Execution via API (CVE-2026-33017, CVSS 9.8)

CVE-2026-33017 (CVSS 9,8, EPSS ≥ 90. Perzentil) ist eine Schwachstelle für unauthentifizierten RCE, die über böswillige HTTP-Anfragen ausgenutzt werden kann. Die CVE betrifft alle netzwerkseitig exponierten Langflow-Instanzen vor Version 1.9.0. CVE-2026-33017 wurde von mehreren Quellen als aktiv ausgenutzt gemeldet [1][2]. Es liegen mehrere technische Analysen [2][3][4] und öffentliche PoC-Exploits [3] vor, was das Risiko erhöht. Weltweit wurden mehrere CERT-Warnungen herausgegeben [5][6][7][8][9].

Langflow ist eine Open-Source-„Low-Code“-Plattform zum Erstellen, Testen und Bereitstellen von agentenbasierten KI- und LLM-fähigen Workflows. Die Schwachstelle besteht im API-Endpunkt von Langflow zum Erstellen öffentlicher Flows. Der Endpunkt POST /api/v1/build_public_tmp/{flow_id}/flow ermöglicht es von Haus aus, öffentliche Flows ohne Authentifizierung zu erstellen. In der offiziellen Langflow-API-Dokumentation heißt es, dass „Build Public Tmp“ nur für Workflows funktioniert, die in der Datenbank als öffentlich markiert sind. Die Schwachstelle tritt auf, wenn der optionale Datenparameter übergeben wird: Langflow verwendet dann einen böswillig kontrollierten Flow-Code, der beliebigen Python-Code enthalten kann, anstatt den in der Datenbank gespeicherten Code. Dieser Code wird ohne Sandboxing an exec() übergeben, was zu unauthentifiziertem RCE führt.

Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung anfälliger Langflow-Instanzen. Nutzende sollten auf Version 1.9.0 aktualisieren.

Netzwerkperimeter unter Beschuss: Kritische Schwachstellen in Firewall- und Edge-Geräten (März 2026)

Die Ausnutzung von Perimeter-Netzwerkgeräten wird durchweg als einer der wichtigsten Erstzugriffsvektoren bei Cyberangriffen eingestuft. Es werden ständig neue Schwachstellen veröffentlicht, die wichtige Perimeter-Geräte betreffen, und Verteidiger müssen in der Lage sein, diese exponierten Einstiegspunkte zuverlässig zu erkennen und zu patchen. Hier sind einige hochriskante Schwachstellen, die Perimeter-Netzwerkgeräte betreffen und im März 2026 aufgetreten sind:

CVE-2026-20131 (CVSS 10): Aktiv ausgenutzte RCE-Schwachstelle im Cisco Firewall Management Center

Cisco veröffentlichte eine Gruppe von 48 CVEs, die seine Firewall-Produktlinie betreffen, darunter zwei kritische CVSS-10-Schwachstellen. Eine davon, CVE-2026-20131, wurde bald in die KEV-Liste der CISA aufgenommen. Eine aktive Ausnutzung wurde ebenfalls von Cisco bestätigt. Ransomware-Angriffe, die CVE-2026-20131 ausnutzen, wurden dem Bedrohungsakteur „Interlock“ zugeschrieben. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14].

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Erkennungstests für alle 48 CVEs, die in der Sicherheitswarnung von Cisco offengelegt wurden, sowie eine Reihe von Tests, die speziell auf Sicherheitslücken in Cisco-Software ausgerichtet sind. Es wird empfohlen, betroffene Produkte im Netzwerk zu identifizieren, Patches unverzüglich zu installieren und Sicherheitslückenbewertungen durchzuführen, indem nach Indikatoren für Kompromittierung (IoCs) gesucht wird [15]. Die CVEs mit dem höchsten Risiko aus dieser Gruppe werden im Folgenden beschrieben:

• CVE-2026-20131 (CVSS 10, EPSS 71. Perzentil): Eine unsichere Deserialisierung [CWE-502] eines vom User bereitgestellten Java-Byte-Stroms ermöglicht eine nicht authentifizierte Java-RCE mit Root-Rechten. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle des Cisco Secure Firewall Management Center (FMC). Ist die FMC-Verwaltungsschnittstelle nicht über das Internet erreichbar, verringert sich die Angriffsfläche erheblich.
• CVE-2026-20079 (CVSS 10, EPSS 90. Perzentil): Beim Systemstart wird ein fehlerhafter Systemprozess erstellt, der es Angreifenden aus der Ferne ermöglicht, die Authentifizierung [CWE-288] über manipulierte HTTP-Anfragen zu umgehen und Skriptdateien auszuführen. Dies macht es möglich, Root-Rechte auf dem zugrunde liegenden Betriebssystem zu erlangen. Eine vollständige technische Analyse und PoC-Exploit-Code sind öffentlich verfügbar, was das Risiko erhöht. CVE-2026-20079 betrifft die Weboberfläche von Cisco Secure FMC.

Ubiquiti UniFi Network Application: Kritische Sicherheitslücke erlaubt Kontoübernahme ohne Authentifizierung (CVE-2026-22557)

CVE-2026-22557 (CVSS 10) ermöglicht eine unbefugte Kontoübernahme durch eine Path-Traversal-Schwachstelle [CWE-22], die es Angreifenden erlaubt, Dateien auf dem zugrunde liegenden System zu manipulieren. Öffentliche technische Details sind verfügbar, und Forschende schätzen, dass eine automatisierte Ausnutzung trivial ist. Das Risiko ist zudem erhöht, da Ubiquiti-Netzwerkprodukte weit verbreitet sind. Mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5].

Eine weitere CVE, die im selben Hersteller-Hinweis veröffentlicht wurde, birgt ein zusätzliches hohes Risiko:

• CVE-2026-22559 (CVSS 8.8): Eine Schwachstelle bei der Eingabevalidierung, die über Social Engineering ausgenutzt werden kann, wenn ein Schadakteur das Opfer mit Netzwerkzugriff auf eine Webschnittstelle der Ubiquiti UniFi Network Application dazu verleiten kann, auf einen bösartigen Link zu klicken.

CVE-2026-22557 betrifft die Ubiquiti UniFi Network Application Version 10.1.85 und früher, Release Candidate 10.2.93 und früher sowie UniFi Express Version 9.0.114 und früher. OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Instanzen. Anweisungen zur Behebung beider oben genannter CVEs sind im offiziellen Sicherheitshinweis des Herstellers verfügbar.

Weitere kritische Schwachstellen in Perimeter-Geräten: F5 BIG-IP, Juniper Junos OS und HPE Aruba (März 2026)

Zu den weiteren aufkommenden Bedrohungen für Perimeter-Netzwerkgeräte im März 2026 gehören:

F5 BIG-IP APM-Zugriffsrichtlinie

CVE-2025-53521 (CVSS 7.5) ist eine aktiv ausgenutzte Schwachstelle, die es Angreifenden ermöglicht, einen Denial-of-Service-Angriff (DoS) auf F5 BIG-IP auszulösen, wenn eine APM-Zugriffsrichtlinie auf einem virtuellen Server konfiguriert ist. Nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14]. Der OPENVAS ENTERPRISE FEED bietet Erkennung auf Paketebene für CVE-2025-53521 sowie eine spezielle Familie von F5-Sicherheitsprüfungen.

Juniper Networks Junos OS Evolved auf der PTX-Serie

CVE-2026-21902 (CVSS 9,8) ist eine Schwachstelle durch falsche Berechtigungszuweisung für kritische Ressourcen [CWE-732], die unauthentifizierten RCE als Root ermöglicht. CVE-2026-21902 betrifft das On-Box-Anomalieerkennungs-Framework von Juniper Networks Junos OS Evolved auf der PTX-Serie. Das On-Box-Framework zur Erkennung von Anomalien ist standardmäßig aktiviert. Diese Schwachstelle betrifft alle Versionen der PTX-Serie 25.4 vor 25.4R1-S1-EVO und 25.4R2-EVO. Dieses Problem betrifft keine Versionen von Junos OS Evolved vor 25.4R1-EVO oder Junos OS. Eine detaillierte technische Beschreibung ist öffentlich verfügbar, was die Entwicklung von Exploits erleichtert. Zahlreiche nationale CERT-Behörden haben Warnmeldungen veröffentlicht [1][2][3][4][5][6][7][8][9][10][11]. Eine aktive Überprüfung und eine Remote-Banner-Prüfung sind im OPENVAS ENTERPRISE FEED sowie in einer speziellen Reihe von authentifizierten Sicherheitsprüfungen für JunOS verfügbar. Weitere Informationen finden Sie im offiziellen Advisory des Herstellers.

HPE Aruba AOS-CX: Kritische Authentifizierungslücke (CVE-2026-23813, CVSS 9.8) und vier weitere Schwachstellen

Hewlett-Packard Enterprise (HPE) veröffentlichte am 10. März einen Sicherheitshinweis, in dem ein kritischer und drei hochgradig schwerwiegende CVEs in ihren Aruba-Netzwerk-Switches vom Typ AOS-CX offengelegt wurden. Weltweit wurden mehrere nationale CERT-Sicherheitshinweise zu dieser Gruppe von Sicherheitslücken herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung für alle in der Sicherheitsmitteilung offengelegten CVEs, die im Folgenden beschrieben werden. Nutzenden wird dringend empfohlen, alle anfälligen AOS-CX-Geräte in ihrer Umgebung zu identifizieren und auf die neueste Version zu aktualisieren.

• CVE-2026-23813 (CVSS 9.8): Eine Schwachstelle bei der Authentifizierung [CWE-287] in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches ermöglicht es nicht authentifizierten Angreifenden aus der Ferne, bestehende Authentifizierungskontrollen zu umgehen, einschließlich des Zurücksetzens des Admin-Passworts.
• CVE-2026-23814 (CVSS 8.8): Eine Schwachstelle durch Befehlsinjektion [CWE-77], die die Parameter bestimmter Befehle der AOS-CX-Befehlszeilenschnittstelle (CLI) betrifft, könnte es authentifizierten Remote-Angreifenden mit geringen Berechtigungen ermöglichen, bösartige Befehle einzuschleusen.
• CVE-2026-23815 (CVSS 7.2): Eine Schwachstelle durch Befehlsinjektion [CWE-77] in einer userdefinierten Binärdatei, die in der AOS-CX-CLI verwendet wird, könnte es authentifizierten Angreifenden mit hohen Berechtigungen ermöglichen, nicht autorisierte Befehle auszuführen.
• CVE-2026-23816 (CVSS 7.2): Eine Schwachstelle für Befehlsinjektion [CWE-77] in der Befehlszeilenschnittstelle von AOS-CX-Switches könnte es authentifizierten Angreifenden aus der Ferne ermöglichen, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen.
• CVE-2026-23817 (CVSS 6.5): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von AOS-CX-Switches könnte es nicht authentifizierten Angreifenden aus der Ferne ermöglichen, User auf eine beliebige URL umzuleiten [CWE-601].

Shadow-IT-Risiko: OpenClaw KI-Agent (ehemals Clawd/Moltbot) mit über 200 CVEs – Sicherheitswarnung für Unternehmen

OpenClaw (früher Clawd und Moltbot) ist ein Open-Source-Agent-KI-Assistent, der im Auftrag eines menschlichen Nutzenden Aufgaben auf Systemebene ausführen kann. Zu den Funktionen von OpenClaw gehören das Versenden von E-Mails, das Lesen und Schreiben von Dateien sowie die Interaktion mit Webdiensten und APIs. Die Software wurde ursprünglich im November 2025 als Clawd veröffentlicht, Anfang 2026 in Moltbot umbenannt und anschließend erneut in OpenClaw umbenannt [1].

Trotz der steigenden Beliebtheit von OpenClaw war die Kritik seitens der Sicherheitsgemeinschaft heftig [2][3][4][5]. Das deutsche BSI listete über 60 Schwachstellen auf, und seit seiner Veröffentlichung wurden über 200 CVEs für den beliebten, aber instabilen KI-Agenten veröffentlicht, darunter 32 CVEs mit kritischem Schweregrad, die allein im März 2026 veröffentlicht wurden. Die schwerwiegendsten dieser Schwachstellen ermöglichen unauthentifizierten RCE im OpenClaw-Kontext. Für das Produkt wurden nationale CERT-Warnungen herausgegeben [1][2][3].

Angesichts der operativen Risiken hinsichtlich unbefugten Zugriffs und Datensicherheit, die OpenClaw für Unternehmen darstellt, sollte seine Nutzung untersagt werden. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von OpenClaw sowohl aus der Ferne als auch lokal nach Authentifizierung. Sicherheitsteams können Warnmeldungen einrichten, um benachrichtigt zu werden, wenn OpenClaw in ihrem Netzwerk erkannt wird.

Nicht authentifizierte RCE in Wazuh Manager über Worker-Knoten im Cluster-Modus

CVE-2026-25769 (CVSS 9.1) ist ein RCE, der es autorisierten Angreifenden mit Zugriff auf einen Cluster-Worker-Knoten ermöglicht, Code auf dem Master-Knoten als Root auszuführen. Die Ursache ist eine fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502]. Das Risiko ist erhöht, da eine erfolgreiche Kompromittierung eines beliebigen Workers im Cluster-Modus zu einer vollständigen Kompromittierung des Master-Knotens auf Root-Ebene führen kann. Eine vollständige technische Analyse und ein PoC-Exploit-Kit sind für CVE-2026-25769 öffentlich verfügbar, was die Hürde für Angriffe senkt. Mehrere nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3].

In der Offenlegung von Wazuh wurden fünf weitere CVEs aufgeführt, darunter eine weitere Schwachstelle mit kritischem Schweregrad: CVE-2025-30201 (CVSS 9.1) ermöglicht es authentifizierten Angreifenden, über bösartige UNC-Pfade und mithilfe von Agent-Konfigurationseinstellungen eine NTLM-Authentifizierung zu erzwingen, was potenziell zu NTLM-Relay-Angriffen [CWE-294] zur Rechteausweitung und zur Ausführung von Remote-Code führen kann. Technische Details und ein PoC-Exploit sind online öffentlich verfügbar.

Die neu offengelegten CVEs betreffen verschiedene Versionsbereiche von Wazuh Manager, erfordern jedoch alle ein Patch auf Version 4.14.3 oder höher. Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für frühere Schwachstellen, die Wazuh betreffen. Nutzende sollten die Sicherheitshinweise von Wazuh lesen, um spezifische Details zu jeder Schwachstelle zu erhalten.

Kritische n8n-Schwachstellen: Authentifizierte Nutzer können Host vollständig kompromittieren (CVE-2026-27495 u.a.)

In den letzten Monaten wurden zahlreiche kritische und hochgradige Schwachstellen in der beliebten agentenbasierten Workflow-Plattform n8n aufgedeckt. Angreifende beginnen, diese auszunutzen; am 11. März 2026 wurde CVE-2025-68613 (CVSS 8.8) in die KEV-Liste der CISA aufgenommen. CVE-2025-68613 und andere n8n-Schwachstellen wurden in Teil 2 des Bedrohungsberichts vom Januar 2026 behandelt.

Die fehlerhafte Auswertung von Ausdrücken ist eine häufige Ursache für Sicherheitslücken. n8n-Ausdrücke sind speziell formatierte Zeichenfolgen, die unter anderem die dynamische Manipulation von Daten für Batch-Verarbeitungsaufgaben ermöglichen. Zu den CVEs mit dem höchsten Risiko, die n8n betreffen und im März 2026 bekannt wurden, gehören:

• CVE-2026-27495 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können eine Schwachstelle im JavaScript Task Runner ausnutzen, um beliebigen Code außerhalb der Sandbox-Grenzen auszuführen. Auf Instanzen, die die standardmäßigen internen Task Runner verwenden, könnte dies zu einer vollständigen Kompromittierung des n8n-Hosts führen. Die Ausnutzbarkeit hängt davon ab, dass die Task Runner mit der Einstellung N8N_RUNNERS_ENABLED=true aktiviert sind.
• CVE-2026-27577 (CVSS 9.9): Authentifizierte User mit Workflow-Berechtigungen können manipulierte Ausdrucksparameter missbrauchen, um eine unbeabsichtigte Befehlsausführung auf dem n8n-Host auszulösen. Diese Schwachstelle ermöglicht die Umgehung von Sicherheitsmaßnahmen, die zur Einschränkung der Befehlsausführungsmöglichkeiten eingerichtet wurden.
• CVE-2026-33696 (CVSS 8.8): Authentifizierte User mit Workflow-Berechtigungen können eine Prototype-Pollution-Schwachstelle in den XML- und GSuiteAdmin-Knoten ausnutzen. Durch die Angabe manipulierter Parameter als Teil der Knotenkonfiguration könnten Unbefugte Werte in `Object.prototype` schreiben und RCE erreichen.
• CVE-2026-33660 (CVSS 9.4): Authentifizierte User mit Workflow-Berechtigungen können den Modus „Combine by SQL“ des Merge-Knotens nutzen, um lokale Dateien auf dem n8n-Host auszulesen und RCE zu erlangen.

Der OPENVAS ENTERPRISE FEED enthält Erkennungsfunktionen für alle oben genannten CVEs [1][2][3][4] sowie für andere bekannte n8n-Schwachstellen. Jede Schwachstelle betrifft verschiedene v1.x- und v2.x-Instanzen von n8n. In vielen Fällen können Systemadmins, wenn Patches nicht sofort angewendet werden können, betroffene Knoten mithilfe der Umgebungsvariable NODES_EXCLUDE deaktivieren. Es gibt jedoch keine Workarounds, die eine vollständige Abhilfe für eine der CVEs bieten. Die Abhilfe besteht in der Aktualisierung auf die neueste Version von n8n. Eine vollständige Liste der Schwachstellen mit Beschreibungen finden Sie in den Sicherheitshinweisen von n8n.

Weitere kritische CVEs März 2026: ScreenConnect, Nginx UI, Apache ActiveMQ, Ivanti und FortiClientEMS

Lassen Sie uns den Bedrohungsbericht dieses Monats mit einem kurzen Überblick über weitere im März 2026 aufgetretene Bedrohungen abschließen:

CVE-2026-3564 (CVSS 9.0) in ConnectWise ScreenConnect vor Version 26.1

Angreifende mit Zugriff auf Konfigurationsdateien können den Maschinenschlüssel eines Geräts extrahieren und diesen für die Sitzungsauthentifizierung verwenden. ScreenConnect ist eine Plattform für Fernsupport und Fernzugriff, mit der IT-Mitarbeiter eine sichere Verbindung zu überwachten oder unbeaufsichtigten Geräten herstellen können. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3]. Der OPENVAS ENTERPRISE FEED enthält eine Fernüberprüfung des Banners, um betroffene Instanzen zu identifizieren.

CVE-2026-27944 (CVSS 9.8) in Nginx UI vor Version 2.3.3

Nicht authentifizierte Angreifende können aus der Ferne ein vollständiges Backup des zugrunde liegenden Systems herunterladen, das sensible Daten enthält, darunter Anmeldedaten, Sitzungstoken, private SSL-Schlüssel und Nginx-Serverkonfigurationen. Die Schwachstelle ist darauf zurückzuführen, dass der Endpunkt /api/backup ohne Authentifizierung zugänglich ist und die Verschlüsselungsschlüssel zur Entschlüsselung des Backups preisgibt. Eine vollständige technische Analyse und PoC-Exploits sind öffentlich verfügbar [1][2], und es wurden mehrere nationale CERT-Warnungen herausgegeben [3][4][5][6][7][8]. Nginx UI ist eine Web-Benutzeroberfläche für den Nginx-Webserver. Der OPENVAS ENTERPRISE FEED enthält eine aktive Prüfung zur Identifizierung betroffener Instanzen.

CVE-2025-66168 (CVSS 8.8) im Apache ActiveMQ Message Broker

Ein Integer-Überlauf-Fehler [CWE-190] führt dazu, dass das Feld für die verbleibende Länge des MQTT-Steuerpakets nicht ordnungsgemäß validiert wird. Eine Ausnutzung kann zu unerwartetem Verhalten führen, einschließlich Denial-of-Service (DoS). Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung betroffener Apache ActiveMQ-Instanzen. Weitere Details finden Sie in der Ankündigung des Herstellers.

CVE-2026-1603 (CVSS 7.3, EPSS 65. Perzentil) in Ivanti Endpoint Manager vor 2024 SU5

Eine neue, aktiv ausgenutzte Sicherheitslücke zur Umgehung der Authentifizierung [CWE-288] könnte ausgenutzt werden, um Anmeldedaten von Ivanti Endpoint Manager-Geräten vor Version 2024 SU5 offenzulegen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Erkennung von CVE-2026-1603 und CVE-2026-1602 (CVSS 6,5). Die beiden CVEs wurden im Februar 2026 veröffentlicht, und Patches sind über den Sicherheitshinweis von Ivanti verfügbar. Es sind weder PoC-Exploits noch detaillierte technische Analysen öffentlich zugänglich.

CVE-2026-21643 (CVSS 9.8) in FortiClientEMS v7.4.x vor v7.4.5

Eine unsachgemäße Neutralisierung spezieller Elemente ermöglicht SQL-Injection [CWE-89] in Fortinet FortiClientEMS 7.4.x vor v7.4.5. Die Ausnutzung kann über speziell gestaltete HTTP-Anfragen zu unauthentifiziertem RCE führen. Eine technische Ursachenanalyse wurde veröffentlicht, die eine schnelle Entwicklung von Exploits ermöglichen könnte. Zahlreiche nationale CERT-Warnungen wurden herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13]. Der OPENVAS ENTERPRISE FEED bietet eine Remote-Banner-Prüfung für CVE-2026-21643. Aktualisieren Sie auf Version 7.4.5 oder höher. Weitere Informationen finden Sie im offiziellen Advisory von Fortinet.

Zusammenfassung

Der März 2026 brachte neue Cyberrisiken auf allen Ebenen der IT-Infrastruktur von Unternehmen mit sich. Netzwerkgeräte am Perimeter und Netzwerk-Appliances waren besonders stark betroffen. Zu den weiteren aufkommenden Bedrohungen zählten aktiv ausgenutzte Schwachstellen in gängigen Browsern, E-Mail-Clients für Unternehmen, agentenbasierten Workflow-Plattformen, zentralen Betriebssystemkomponenten und praktisch jedem anderen Aspekt des IT-Ökosystems von Unternehmen. Im Jahr 2026 ist die regelmäßige Suche nach neuen Schwachstellen eine grundlegende Cybersicherheitsmaßnahme und ein wesentlicher Bestandteil eines Exposure-Management-Ansatzes für Cybersicherheit.

Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können Greenbones Flaggschiffprodukt OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.