Neueste IT-Sicherheitsvorfälle
Kompakte Übersicht aktueller IT-Sicherheitsvorfälle zur schnellen Einordnung von Risiken und Handlungsbedarf.
Checkmk: Cross-Site-Scripting-Lücke in Netzwerk-Monitor-Software
Meldung vom: 02.03.2026
In Checkmk wurde eine XSS-Schwachstelle (CVE-2025-64999) entdeckt: Angreifer können über manipulierte Host-Check-Ausgaben JavaScript in „Synthetic Monitoring“-HTML-Logs einschleusen, das beim Öffnen eines präparierten Links in der UI ausgeführt wird. Checkmk bewertet die Lücke mit CVSS 7,3 („hoch“), das CERT-Bund stuft sie als „kritisch“ ein (CVSS 9,0). Betroffen sind Versionen vor 2.4.0p22 und 2.3.0p43 (sowie Beta 2.5.0/2.6.0). Update auf die korrigierten Builds wird dringend empfohlen.
IBM: Angreifer können IBM App Connect Enterprise abstürzen lassen
Meldung vom: 27.02.2026
IBM warnt vor mehreren Schwachstellen in App Connect Enterprise, License Metric Tool v9 sowie WebSphere Application Server (inkl. Liberty). In App Connect Enterprise gibt es vier Lücken, darunter zwei „kritische“ (CVE-2026-61140, CVE-2026-25547), über die unter anderem DoS-Angriffe und Abstürze möglich sind. Behoben sind die Probleme in App Connect Enterprise v12 Fix Pack 12.0.12.23 sowie v13 Fix Pack 13.0.6.2; Hinweise auf aktive Ausnutzung liegen laut IBM nicht vor. Für WebSphere (klassisch/Liberty) sind DoS-Attacken ebenfalls möglich, IBM verweist auf Fix Packs. Im License Metric Tool v9 schließt Version 9.2.42 eine „kritische“ Lücke (CVE-2026-1188), die laut Beschreibung potenziell Codeausführung ermöglicht.
Cisco: seit drei Jahren Sicherheitslücke in Netzwerken
Meldung vom: 26.02.2026
Cisco warnt vor laufenden Angriffen auf Catalyst SD-WAN Controller und Catalyst SD-WAN Manager. Laut Cisco Talos werden die Attacken seit mindestens drei Jahren beobachtet (Cluster „UAT-8616“); die US-Behörde CISA ordnet eine schnelle Patch-Installation bis 27.02.2026 an. Ursache ist eine kritische Schwachstelle in der Peering-Authentifizierung (CVE-2026-20127, CVSS 10), über die Angreifer mit hohen Rechten Zugriff erlangen und sich im Netzwerk festsetzen können.
Cisco nennt Indicators of Compromise zur Erkennung kompromittierter Systeme und liefert teils sogar Updates für nicht mehr unterstützte Versionen (z. B. 20.11). Für Releases vor 20.9 ist ein Upgrade erforderlich, um Patches zu erhalten. Abgesichert sind: 20.12.6.1, 20.12.5.3, 20.15.4.2, 20.18.2.1; Version 20.9.8.2 soll am 27.02. folgen.
Atlassian-Sicherheitsupdates: Bamboo und Confluence sind verwundbar
Meldung vom: 20.02.2026
Atlassian schließt mehrere Sicherheitslücken in Bamboo, Confluence und Crowd (jeweils Data Center/Server). Drei als „kritisch“ eingestufte Schwachstellen betreffen Drittkomponenten Apache Tika (CVE-2025-66516), sha.js (CVE-2025-9288) und cipher-base (CVE-2025-9287) und können u. a. Datenmanipulation ermöglichen; in einem Fall ist das Öffnen einer präparierten PDF nötig. Weitere Lücken erlauben DoS (z. B. CVE-2022-25883, „hoch“) oder Remote-Code-Ausführung (CVE-2025-48734, „hoch“).
Abgesichert sind u. a. Bamboo 12.1.2 (LTS) bzw. 10.2.14–10.2.15 (LTS), Confluence 9.2.14/9.2.15 (LTS) sowie 10.2.3/10.2.6 (LTS) und Crowd 7.1.4. Admins sollten die Patches umgehend einspielen.
Google Chrome: Update schließt attackierte Lücke
Meldung vom: 14.02.2026
Google hat ein außerplanmäßiges Chrome-Update veröffentlicht, das eine bereits aktiv ausgenutzte Schwachstelle schließt. Es handelt sich um eine „Use-after-free“-Lücke in der CSS-Verarbeitung (CVE-2026-2441, CVSS 8.8, „hoch“), über die Angreifer mit einer manipulierten HTML-Seite Code innerhalb der Sandbox ausführen können. Google bestätigt Exploits „in freier Wildbahn“, nennt aber keine Details zu Zielen oder Umfang.
Nicht mehr anfällig sind u. a. Chrome 144.0.7559.75 (Linux), 145.0.7632.75/76 (macOS/Linux) sowie Extended Stable 144.0.7559.177 (macOS/Windows). Nutzer sollten das Update umgehend über den Chrome-Updater (bzw. unter Linux über die Paketverwaltung) einspielen.
Zyxel-Firwalls: Sicherheitslücke ermöglicht Ausführen von Systembefehlen
Meldung vom: 08.02.2026
In Dell Data Protection Advisor wurden mehrere Sicherheitslücken entdeckt, darunter Schwachstellen in Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Angreifer können diese Lücken ausnutzen, um Systeme zu kompromittieren. Betroffen sind die Versionen 19.10 bis einschließlich 19.12 SP1. Die Schwachstellen wurden teils als „kritisch“ eingestuft und betreffen unter anderem die libcurl-Sicherheitslücke CVE-2016-7167. Dell hat die betroffenen Versionen mit Sicherheitsupdates ausgestattet, sodass die Version 19.12 SP2 nun als sicher gilt. Unternehmen sollten dringend die bereitgestellten Patches einspielen.
TeamViewer: Sicherheitslücke erlaubt Zugriffe ohne vorherige Bestätigung
Meldung vom: 06.02.2026
In TeamViewer wurde eine Sicherheitslücke entdeckt, durch die angemeldete Angreifer Zugriffskontrollen umgehen und dadurch auf Ressourcen zugreifen können, bevor die lokale Bestätigung („Allow after confirmation“) erfolgt. Betroffen sind TeamViewer Full und TeamViewer Host für Linux, macOS und Windows vor Version 15.74.5. Die Schwachstelle (CVE-2026-23572, CVSS 7.2) wird als „hoch“ eingestuft. TeamViewer stellt aktualisierte Pakete bereit; ein Update auf Version 15.74.5 oder neuer schließt die Lücke. Als temporäre Maßnahme wird genannt, die Option „Control this computer – Allow after Confirmation“ bzw. die Richtlinie zur Zugriffskontrolle für eingehende Verbindungen zu setzen. Laut TeamViewer sind bislang keine Angriffe bekannt, dennoch sollten Unternehmen zeitnah patchen.
Notepad++: Kompromittierte Update-Infrastruktur verteilt Backdoor-Versionen
Meldung vom: 02.02.2026
Die Update-Infrastruktur von Notepad++ wurde über Monate kompromittiert, sodass mutmaßlich chinesisch-staatliche Angreifer ausgewählte Nutzer auf bösartige Update-Server umleiten und manipulierte („backdoored“) Versionen ausliefern konnten. Der Angriff lief laut Entwicklern von Juni 2025 bis zur Wiedererlangung der Kontrolle im Dezember 2025; als Payload wird die Backdoor „Chrysalis“ genannt. Betroffen waren vor allem ältere Versionen mit unzureichender Update-Verifikation; Notepad++ empfiehlt ein manuelles Update auf Version 8.9.1 oder neuer von der offiziellen Seite. Organisationen können zusätzlich den Updater-Prozess (gup.exe) am Internetzugang hindern bzw. Update-Traffic blockieren und zur Prüfung auf Kompromittierung die IOCs aus dem Rapid7-Reporting nutzen.
Dell Data Protection Advisor: Sicherheitslücken ermöglichen Angriffe auf Systeme
Meldung vom: 22.01.2026
In Dell Data Protection Advisor wurden mehrere Sicherheitslücken entdeckt, darunter Schwachstellen in Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Angreifer können diese Lücken ausnutzen, um Systeme zu kompromittieren. Betroffen sind die Versionen 19.10 bis einschließlich 19.12 SP1. Die Schwachstellen wurden teils als „kritisch“ eingestuft und betreffen unter anderem die libcurl-Sicherheitslücke CVE-2016-7167. Dell hat die betroffenen Versionen mit Sicherheitsupdates ausgestattet, sodass die Version 19.12 SP2 nun als sicher gilt. Unternehmen sollten dringend die bereitgestellten Patches einspielen.
Sicherheitspatches: Atlassian sichert Confluence & Co. gegen mögliche Attacken
Meldung vom: 21.01.2026
Atlassian hat Sicherheitsupdates für Bamboo, Bitbucket, Confluence, Crowd, Jira und Jira Service Management veröffentlicht. Zwei „kritische“ Lücken (CVE-2025-12383, CVE-2025-66516) betreffen Eclipse Jersey und Apache Tika, die in Bamboo und Confluence verwendet werden. Diese Lücken könnten Angreifern ermöglichen, Server fälschlicherweise als vertrauenswürdig einzustufen. Weitere Schwachstellen können DoS-Attacken, Schadcode-Installation und Man-in-the-Middle-Angriffe ermöglichen.
Alle betroffenen Versionen sollten umgehend mit den verfügbaren Patches aktualisiert werden.
WordPress-Plugins: Sicherheitslücken in beliebten Erweiterungen
Meldung vom: 20.01.2026
Zwei populäre WordPress-Plug-ins weisen kritische Sicherheitslücken auf, die bereits aktiv von Angreifern ausgenutzt werden. Das Plug-in Modular DS (Versionen 2.5.1 und älter) ermöglicht es Angreifern, Administratorrechte zu erlangen, was eine gravierende Sicherheitslücke darstellt (CVE-2026-23800, CVSS 10). Angriffe auf diese Schwachstelle wurden bereits beobachtet. Betroffene Nutzer sollten auf Version 2.6.0 oder neuer aktualisieren, um das Problem zu beheben.
Das zweite betroffene Plug-in, Advanced Custom Fields: Extended (bis Version 0.9.2.1), lässt es nicht authentifizierten Angreifern zu, sich bei der Registrierung als Administrator zu setzen, wodurch sie vollen Zugriff auf die Website erhalten (CVE-2025-14533, CVSS 9.8). Dieses Problem wurde in Version 0.9.2.2 behoben.
Es wird dringend empfohlen, diese Plug-ins sofort zu aktualisieren, um das Risiko von Angriffen zu minimieren.
TeamViewer DEX: Sicherheitslücken ermöglichen Angriffe auf Systeme
Meldung vom: 15.12.2025
In TeamViewer DEX wurden mehrere Sicherheitslücken entdeckt, darunter vier als „hoch“ eingestufte Schwachstellen. Angreifer können unter bestimmten Voraussetzungen aus der Ferne Befehle auf verwalteten Geräten ausführen oder auf geschützte Informationen zugreifen. Betroffen sind sowohl SaaS- als auch On-Premise-Installationen. Unternehmen sollten die bereitgestellten Sicherheitspatches zeitnah einspielen.
GitLab: Sicherheitslücken ermöglichen Zugriff zu Zugangsdaten
Meldung vom: 12.12.2025
In GitLab wurden Schwachstellen entdeckt, die es Angreifern ermöglichen, Zugangsdaten von Nutzern abzugreifen oder einen DoS-Angriff auszulösen. Admins sollten umgehend die neuesten Patches installieren. GitLab.com ist bereits abgesichert.
GeoServer: Sicherheitslücken durch präparierte XML-Dateien
Meldung vom: 01.12.2025
Zwei Sicherheitslücken in GeoServer ermöglichen Angreifern, durch präparierte XML-Dateien DoS-Angriffe auszulösen oder Schadcode auszuführen. Nutzer sollten auf die Versionen 2.26.3, 2.25.6 oder 2.27.0 aktualisieren, um sich zu schützen.
IBM App Connect Enterprise: DoS-Attacken können Systeme lahmlegen
Meldung vom: 27.11.2025
Mehrere Schwachstellen in IBM App Connect Enterprise und App Connect Enterprise Certified Container ermöglichen DoS-Angriffe, bei denen präparierte CSV-Dateien Fehler auslösen. Betroffene Systeme sollten auf die Versionen 12.0.12.20 (v12) oder 13.0.5.2 (v13) sowie 12.0.18 (LTS) oder 12.18.0 (Continuous Delivery) aktualisiert werden.
Synology: Kritische Schwachstelle Update dringend empfohlen
Meldung vom: 19.11.2025
Im Synology DSM wurde eine kritische Schwachstelle behoben, die Angreifern ermöglicht, sich ohne Passwort anzumelden. Nutzer sollten auf die Versionen DSM 7.3.1 86003 1 oder 7.2.2 72806 5 updaten und zusätzliche Sicherheitsmaßnahmen wie das Sperren des WAN Zugriffs umsetzen.
Gerne unterstützen wir bei Bewertung und Umsetzung geeigneter Maßnahmen.