Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.
🛡️ Top 3 Sicherheitslücken des Tages
Server-side Request Forgery in Azure OpenAI
In Azure OpenAI besteht eine Server-side Request Forgery (SSRF)-Schwachstelle. Ein autorisierter Angreifer kann durch Ausnutzung dieser Lücke seine Privilegien über das Netzwerk hinweg erhöhen.
- Priorität: Hoch (kritisch)
- Datum: 02.07.2026
- CVE: CVE-2026-45499
- Für wen relevant: Unternehmen, die Azure OpenAI nutzen (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte unbefugt höhere Zugriffsrechte erlangen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
Server-side Request Forgery in Microsoft Entra Provisioning Service
Im Microsoft Entra Provisioning Service (SyncFabric) besteht eine Server-side Request Forgery (SSRF)-Schwachstelle. Ein autorisierter Angreifer kann durch Ausnutzung dieser Lücke seine Privilegien über das Netzwerk hinweg erhöhen.
- Priorität: Hoch (kritisch)
- Datum: 02.07.2026
- CVE: CVE-2026-57100
- Für wen relevant: Unternehmen, die Microsoft Entra Provisioning Service (SyncFabric) einsetzen (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte unbefugt höhere Zugriffsrechte erlangen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
Open Redirect in Microsoft 365 Copilot
In Microsoft 365 Copilot besteht eine Schwachstelle durch Weiterleitung auf unvertrauenswürdige Websites (Open Redirect). Ein nicht autorisierter Angreifer kann durch Ausnutzung dieser Lücke seine Privilegien über das Netzwerk hinweg erhöhen.
- Priorität: Hoch (kritisch)
- Datum: 02.07.2026
- CVE: CVE-2026-41106
- Für wen relevant: Unternehmen, die Microsoft 365 Copilot nutzen (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte unbefugt höhere Zugriffsrechte erlangen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
Standard-Anmeldedaten in AutoBangumi
AutoBangumi vor Version 3.2.8 enthält eine Schwachstelle durch hartkodierte Standard-Anmeldedaten. Nicht authentisierte Angreifer können sich als Administrator authentifizieren, indem sie die öffentlich bekannten Standard-Anmeldedaten verwenden, die bei Start über die Funktion add_default_user() in das Datenbankbenutzermodul eingefügt werden, wenn die Benutzertabelle leer ist. Angreifer können die Standard-Anmeldedaten an den Authentifizierungs-Login-Endpunkt übermitteln, um die vollständige Kontrolle über die Anwendung zu erlangen. Dies umfasst die Konfiguration des RSS-Feeds, des Downloaders und aller authentifizierten API-Endpunkte.
- Priorität: Hoch (kritisch)
- Datum: 02.07.2026
- CVE: CVE-2026-58466
- Für wen relevant: Betreiber von AutoBangumi-Instanzen (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte die vollständige Kontrolle über die Anwendung erlangen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
Kryptografische Schwachstelle in Apereo CAS
Apereo CAS in Versionen vor 8.0.0-RC6 enthält eine kryptografische Schwachstelle. Nicht authentisierte Angreifer können durch Ausnutzung dieser Lücke den Klartext von Konversationszuständen wiederherstellen. Dies geschieht durch die Wiederverwendung des Initialisierungsvektors (IV) in AES-GCM über die gesamte Lebensdauer des Servers. Angreifer können mehrere Client-seitige Webflow-Ausführungstoken von der nicht authentisierten Login-Seite sammeln und durch Known-Plaintext-Analyse den Webflow-Konversationszustand entschlüsseln.
- Priorität: Hoch (kritisch)
- Datum: 02.07.2026
- CVE: CVE-2026-59099
- Für wen relevant: Betreiber von Apereo CAS-Instanzen (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte sensible Konversationsdaten entschlüsseln und damit vertrauliche Informationen offenlegen.
- Quelle: NVD
Falsche Autorisierung in Microsoft Exchange Online
In Microsoft Exchange Online besteht eine Schwachstelle durch falsche Autorisierung. Ein autorisierter Angreifer kann durch Ausnutzung dieser Lücke seine Privilegien über das Netzwerk hinweg erhöhen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- CVE: CVE-2026-54998
- Für wen relevant: Unternehmen, die Microsoft Exchange Online nutzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte unbefugt höhere Zugriffsrechte erlangen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
Path Traversal und Local File Inclusion in Cockpit CMS
Cockpit CMS vor Version 364 enthält eine Schwachstelle durch Path Traversal und Local File Inclusion. Nicht authentisierte Angreifer können beliebige Dateien lesen oder PHP-Dateien ausführen, indem sie nicht validierte PATH_INFO-Werte aus REQUEST_URI in die Pfadkonstruktion der Dateisystempfade einbeziehen, ohne Kontrollen zur Eingrenzung. Angreifer können Punkt-Punkt-Sequenzen in die URL einfügen, um außerhalb des vorgesehenen spaces-Verzeichnisses zu traversieren. Wenn der aufgelöste Pfad auf eine .php-Erweiterung endet, wird er an include() übergeben, was Local File Inclusion auf Deployments ermöglicht, die den PHP-internen Server oder bestimmte nicht standardmäßige Nginx-Konfigurationen verwenden.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- CVE: CVE-2026-58467
- Für wen relevant: Betreiber von Cockpit CMS-Instanzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte unbefugt Dateien lesen oder ausführen und damit sensible Daten oder Systeme kompromittieren.
- Quelle: NVD
RBAC-Schwachstelle in Weaviate
Weaviate vor Version 1.38.0 überprüft nicht, ob ein Principal, der eine RBAC-Rollenvergabe durchführt, die Berechtigungen besitzt, die durch die zugewiesene Rolle gewährt werden. Die Handler assignRoleToUser und assignRoleToGroup (POST /authz/users/{id}/assign und /authz/groups/{id}/assign) autorisieren lediglich, dass der Aufrufer Rollen an den Zielbenutzer oder die Zielgruppe zuweisen darf, nicht jedoch die Berechtigungen, die in den zugewiesenen Rollen enthalten sind. Im Gegensatz zur Rollenerstellung, die durchsetzt, dass ein Benutzer nur Rollen mit Berechtigungen erstellen kann, die seinen eigenen entsprechen oder untergeordnet sind. Ein Benutzer, der nur die delegierte assign_and_revoke_users- oder assign_and_revoke_groups-Berechtigung besitzt, kann die integrierte Admin-Rolle oder jede hochprivilegierte benutzerdefinierte Rolle sich selbst oder anderen zuweisen und damit die vollständige administrative Kontrolle über die Datenbank erlangen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- CVE: CVE-2026-59093
- Für wen relevant: Betreiber von Weaviate-Instanzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte durch Ausnutzung dieser Schwachstelle die vollständige administrative Kontrolle über die Datenbank erlangen.
- Quelle: NVD
Server-side Request Forgery in LobeChat
LobeChat vor Version 2.2.10-canary.18 enthält eine Server-side Request Forgery (SSRF)-Schwachstelle. Authentisierte Angreifer können interne HTTP-Anfragen an beliebige URLs lenken, indem sie benutzerkontrollierte Eingaben an den Skill-Import-Service (importFromUrl) und die Endpunkte zur Themen-Cover-Aktualisierung (fetchImageFromUrl) weitergeben, die den globalen fetch ohne den ssrf-safe-fetch-Wrapper des Projekts verwenden. Angreifer können interne Adressen wie Cloud-Instanz-Metadatenendpunkte über diese ungeschützten Codepfade anvisieren, um interne Dienstantworten und Cloud-Anmeldedaten offenzulegen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- CVE: CVE-2026-59095
- Für wen relevant: Betreiber von LobeChat-Instanzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte interne Systeme kompromittieren oder sensible Cloud-Anmeldedaten offenlegen.
- Quelle: NVD
OIDC-Entdeckungsendpunkt-Schwachstelle in Dapr Sentry
Der OIDC-Entdeckungsendpunkt von Dapr Sentry leitet den Issuer und jwks_uri des /.well-known/openid-configuration-Dokuments aus dem Host der Anfrage ab und berücksichtigt dabei einen vom Angreifer kontrollierten X-Forwarded-Host-Header ohne Validierung, wenn keine Host-Liste konfiguriert ist (Standard). Das Dokument wird mit einer öffentlichen Cache-Lebensdauer von einer Stunde bereitgestellt. Ein nicht authentisierter Angreifer kann das Entdeckungsdokument manipulieren, sodass abhängige Parteien, die eine dynamische (nicht gepinnte) Entdeckung durchführen, den JWKS von einem vom Angreifer kontrollierten Server abrufen. Dies führt dazu, dass Angreifer-signierte JWTs akzeptiert werden. Die Ausnutzung erfordert, dass der OIDC-Server ohne konfigurierten jwt-issuer oder oidc-allowed-hosts aktiviert ist.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- CVE: CVE-2026-59096
- Für wen relevant: Betreiber von Dapr Sentry-Instanzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte manipulierte JWTs zur Authentifizierung nutzen und damit unbefugten Zugriff auf Systeme erlangen.
- Quelle: NVD
Mehrere Schwachstellen in Kibana
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Kibana ausnutzen, um einen Denial of Service Angriff durchzuführen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen und vertrauliche Informationen offenzulegen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von Kibana-Instanzen (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Systeme lahmlegen, Code ausführen oder sensible Daten offenlegen.
- Quelle: BSI CERT-Bund
Mehrere Schwachstellen in IBM DataPower Gateway
Ein Angreifer kann mehrere Schwachstellen in IBM DataPower Gateway ausnutzen, um einen Denial of Service Angriff durchzuführen, um Informationen offenzulegen, und um Daten zu manipulieren.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von IBM DataPower Gateway (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Systeme lahmlegen, Daten manipulieren oder sensible Informationen offenlegen.
- Quelle: BSI CERT-Bund
Mehrere Schwachstellen in Red Hat Satellite
Ein Angreifer kann mehrere Schwachstellen in Red Hat Satellite ausnutzen, um sich erweiterte Rechte, einschließlich Administratorrechten, zu verschaffen, die Authentifizierung zu umgehen, Daten zu manipulieren, vertrauliche Informationen offenzulegen und einen Denial-of-Service-Zustand zu verursachen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von Red Hat Satellite (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte die Kontrolle über Systeme erlangen, Daten manipulieren oder Systeme lahmlegen.
- Quelle: BSI CERT-Bund
IBM WebSphere Application Server – mehrere Stellen betroffen
Bei IBM WebSphere Application Server sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Mehrere Schwachstellen in IBM WebSphere Application Server
Ein Angreifer kann mehrere Schwachstellen in IBM WebSphere Application Server ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen und vertrauliche Informationen offenzulegen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von IBM WebSphere Application Server (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Cross-Site Scripting nutzen, um sensible Daten offenzulegen.
- Quelle: BSI CERT-Bund
2. Mehrere Schwachstellen in IBM WebSphere Application Server
Ein Angreifer kann mehrere Schwachstellen in IBM WebSphere Application Server ausnutzen, um beliebigen Programmcode auszuführen, um einen Denial of Service Angriff durchzuführen, um Sicherheitsvorkehrungen zu umgehen, um Informationen offenzulegen, und um seine Privilegien zu erhöhen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von IBM WebSphere Application Server (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Code ausführen, Systeme lahmlegen oder die Kontrolle über Systeme erlangen.
- Quelle: BSI CERT-Bund
3. Mehrere Schwachstellen in IBM WebSphere Application Server und Application Server Liberty
Ein Angreifer kann mehrere Schwachstellen in IBM WebSphere Application Server Liberty und IBM WebSphere Application Server ausnutzen, um Dateien zu manipulieren, um einen Cross-Site Scripting Angriff durchzuführen, um beliebigen Programmcode auszuführen, um Informationen offenzulegen, und um einen Denial of Service Angriff durchzuführen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von IBM WebSphere Application Server und Application Server Liberty (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Dateien manipulieren, Code ausführen, sensible Daten offenlegen oder Systeme lahmlegen.
- Quelle: BSI CERT-Bund
Mehrere Schwachstellen in IBM App Connect Enterprise Certified Container
Ein Angreifer kann mehrere Schwachstellen in IBM App Connect Enterprise Certified Container ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, Cross-Site-Scripting-Angriffe durchzuführen, Daten zu manipulieren, vertrauliche Informationen offenzulegen oder einen Denial-of-Service-Zustand zu verursachen.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Betreiber von IBM App Connect Enterprise Certified Container (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Code ausführen, Sicherheitsmaßnahmen umgehen, Daten manipulieren oder Systeme lahmlegen.
- Quelle: BSI CERT-Bund
Mehrere Schwachstellen in Google Chrome
Ein Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen, darunter möglicherweise die Ausführung von beliebigem Code, die Verursachung eines Denial-of-Service-Angriffs, die Umgehung von Sicherheitsmaßnahmen sowie die Änderung und Offenlegung von Daten.
- Priorität: Erhöht (hoch)
- Datum: 02.07.2026
- Für wen relevant: Nutzer von Google Chrome (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Code ausführen, Systeme lahmlegen oder sensible Daten offenlegen.
- Quelle: BSI CERT-Bund
Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate sowie auf der Startseite von NB Review.

