Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.
Microsoft Windows – mehrere Stellen betroffen
Bei Microsoft Windows sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Windows-Patch für RoguePlanet-Zero-Day
Für eine zuvor nur rudimentär abgedichtete Schwachstelle aus dem Exploit-Fundus von „Nightmare Eclipse“ gibt es jetzt einen neuen, (hoffentlich) finalen Patch.
- Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen, die Windows-Systeme betreiben. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle könnte bereits aktiv ausgenutzt werden, was zu Systemkompromittierungen führen kann.
- Quelle: heise Security
2. GodDamn-Ransomware nutzt Microsoft-unterzeichneten Treiber für Angriffe
Die Ransomware-Gruppe Hyadina nutzt einen von Microsoft signierten, aber bösartigen Kernel-Treiber, um Sicherheitssoftware in Angriffen zu deaktivieren. Die Gruppe setzt dabei Tools wie legitime Remote-Monitoring-Software und Penetrationstest-Programme ein. Die Ransomware mit dem Namen „GodDamn“ zielt vor allem auf US-Unternehmen ab und zeigt eine Ablehnung gegenüber ehemaligen Sowjetstaaten.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen, die Windows-Systeme mit Microsoft-unterzeichneten Treibern betreiben. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Der Einsatz des signierten Treibers ermöglicht Angreifern die Umgehung von Sicherheitsmaßnahmen und die vollständige Kontrolle über infizierte Systeme.
- Quelle: Dark Reading
Windows Defender: Privilegieneskalation durch RoguePlanet-Lücke
Ein Forscher veröffentlichte einen Proof-of-Concept-Exploit für eine Zero-Day-Lücke in Windows Defender. Die Schwachstelle mit dem Namen RoguePlanet ermöglicht es Angreifern, ihre Privilegien von einem normalen Benutzer auf SYSTEM-Ebene zu erhöhen. Microsoft reagierte mit einem außerplanmäßigen Patch. Die Lücke wurde von einem anonymen Sicherheitsforscher namens Nightmare-Eclipse veröffentlicht, der bereits zuvor ähnliche Exploits gegen Microsoft veröffentlichte.
- Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
- Datum: 09.07.2026
- CVE: CVE-2026-50656, CVE-2026-33825
- Für wen relevant: Unternehmen und Privatpersonen, die Windows Defender einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte Angreifern die vollständige Kontrolle über das betroffene Gerät ermöglichen.
- Quelle: Dark Reading
Microsoft Windows: Mehrere Schwachstellen in Windows-Produkten
Ein Angreifer kann mehrere Schwachstellen in Microsoft Windows-Produkten ausnutzen, um beliebigen Programmcode auszuführen, Privilegien zu erhöhen, Denial-of-Service-Angriffe durchzuführen, Informationen offenzulegen oder Sicherheitsvorkehrungen zu umgehen.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen und Privatpersonen, die Microsoft Windows-Produkte einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken könnte zu Systemübernahme, Datenverlust oder Dienstverfügbarkeitsproblemen führen.
- Quelle: BSI CERT-Bund
Microsoft Dynamics 365: Cross-Site Scripting durch unsichere Eingaben
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Microsoft Dynamics 365 ausnutzen, um einen Cross-Site-Scripting-Angriff durchzuführen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen, die Microsoft Dynamics 365 einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht die Ausführung von Schadcode im Kontext von Benutzern oder die Täuschung von Anwendern.
- Quelle: BSI CERT-Bund
Hermes WebUI – mehrere Stellen betroffen
Bei Hermes WebUI sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Hermes WebUI: Authentifizierungsbypass durch manipulierte Header
Die Hermes WebUI vor Version 0.51.307 enthält eine Authentifizierungslücke, die es unauthentifizierten Angreifern ermöglicht, lokale Ursprungsbeschränkungen zu umgehen. Durch das Spoofen des X-Forwarded-For-Headers mit einer Loopback-Adresse können Server-seitige Request-Forgery-Angriffe gegen interne Dienste durchgeführt werden. Zudem lassen sich LLM-Konfigurationen und API-Schlüssel überschreiben oder OAuth-Gerätecode-Flows initiieren.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- CVE: CVE-2026-58122
- Für wen relevant: Betreiber von Hermes WebUI-Instanzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht unauthentifizierten Zugriff auf interne Systeme und die Manipulation von Konfigurationen sowie den Diebstahl von Zugangsdaten.
- Quelle: NVD
2. Hermes WebUI: Unauthentifizierte Remote-Code-Ausführung
Die Hermes WebUI vor Version 0.51.788 enthält eine unauthentifizierte Remote-Code-Ausführungslücke. Angreifer können ohne Anmeldung beliebige Shell-Befehle ausführen, indem sie auf eingebettete Terminal-API-Endpunkte zugreifen. Durch das Erstellen einer Sitzung und das Anhängen einer PTY-Shell lassen sich Befehle als Server-Prozess-Benutzer ausführen.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- CVE: CVE-2026-58123
- Für wen relevant: Betreiber von Hermes WebUI-Instanzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht vollständige Kontrolle über den betroffenen Server.
- Quelle: NVD
n8n – mehrere Stellen betroffen
Bei n8n sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. n8n: BSI warnt vor mehreren behobenen Schwachstellen
Das BSI hat eine Warnmeldung zu kürzlich behobenen Schwachstellen in der Automatisierungslösung n8n veröffentlicht. Obwohl keine der Lücken als kritisch eingestuft wird, betont die Behörde die hohe Dringlichkeit von Updates.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen, die n8n als Workflow-Automatisierungsplattform einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Nicht gepatchte Systeme könnten Angreifern erweiterte Rechte oder Zugriff auf sensible Daten ermöglichen.
- Quelle: heise Security
2. n8n: Prototype-Pollution durch manipulierte Workflows
Vor den Versionen 1.123.61, 2.27.4 und 2.28.1 konnte ein authentisierter Benutzer mit der Standardberechtigung workflow:create durch manipulierte Workflows Object.prototype verunreinigen. Dies ermöglichte unauthentifizierten Anfragen, als privilegierter Benutzer behandelt zu werden, und offenbarte Benutzer- und Projektlistenendpunkte.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- CVE: CVE-2026-59206
- Für wen relevant: Unternehmen, die n8n als Workflow-Automatisierungsplattform einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht unauthentifizierten Zugriff auf sensible Daten und die Manipulation von Workflows.
- Quelle: NVD
3. n8n: Unzureichende Domain-Einschränkungen in AI Agents
Vor den Versionen 2.27.4 und 2.28.1 erzwang die AI Agents-Funktion in n8n die konfigurierten Einschränkungen für erlaubte HTTP-Domains nicht. Ein Mitglied mit Zugriff auf geteilte Anmeldedaten konnte diese an eine externe, kontrollierte URL senden.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- CVE: CVE-2026-59207
- Für wen relevant: Unternehmen, die n8n mit aktivierter AI Agents-Funktion einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht den Diebstahl von Anmeldedaten und die Weiterleitung an externe Server.
- Quelle: NVD
4. n8n: Unsichere Token-Austausch-Validierung bei mehreren Trusted Issuern
Vor den Versionen 2.27.4 und 2.28.1 löste n8n externe Identitäten nur anhand des JWT sub-Claims auf, wenn mehrere vertrauenswürdige Token-Austausch-Issuer konfiguriert waren. Dies ermöglichte Angreifern mit einem gültigen Token eines Issuers, sich als Benutzer eines anderen Issuers zu authentifizieren.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- CVE: CVE-2026-59208
- Für wen relevant: Unternehmen, die n8n mit mehreren vertrauenswürdigen Token-Austausch-Issuern einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht unauthentifizierten Zugriff auf Benutzerkonten und die Übernahme von Sitzungen.
- Quelle: NVD
5. n8n: Mehrere Schwachstellen mit erweiterten Privilegien
Ein Angreifer kann mehrere Schwachstellen in n8n ausnutzen, um erweiterte Privilegien, einschließlich Administratorrechten, zu erlangen, beliebigen Code auszuführen, Daten zu manipulieren, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen oder Cross-Site- und Man-in-the-Middle-Angriffe durchzuführen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen, die n8n als Workflow-Automatisierungsplattform einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken könnte zu vollständiger Systemübernahme oder Datenverlust führen.
- Quelle: BSI CERT-Bund
n8n: Mehrere Schwachstellen ermöglichen Codeausführung
Ein Angreifer kann mehrere Schwachstellen in n8n ausnutzen, um seine Privilegien zu erhöhen, Informationen offenzulegen, Daten zu manipulieren, Cross-Site-Scripting-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Betreiber von n8n-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstellen ermöglichen Angreifern die vollständige Kontrolle über n8n-Instanzen, was zu Datenverlust, Manipulation oder Missbrauch führen kann.
- Quelle: BSI CERT-Bund
WordPress-Plugin: Stored Cross-Site Scripting in Connect Contact Form 7 und Mailchimp
Das WordPress-Plugin Connect Contact Form 7 und Mailchimp ist bis Version 0.9.78.06 anfällig für Stored Cross-Site Scripting durch unsachgemäße Bereinigung von Mailchimp Merge Field Values. Unauthentifizierte Angreifer können beliebige Web-Skripte in Seiten injizieren, die bei Zugriff durch einen privilegierten Benutzer ausgeführt werden.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- CVE: CVE-2026-15000
- Für wen relevant: Betreiber von WordPress-Websites mit dem Connect Contact Form 7 und Mailchimp-Plugin. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht die Ausführung von Schadcode im Kontext privilegierter Benutzer und die Übernahme von WordPress-Administratorrechten.
- Quelle: NVD
WordPress-Plugin Blocksy Companion: Arbitrary File Upload
Das WordPress-Plugin Blocksy Companion ist in allen Versionen bis einschließlich 2.1.46 anfällig für willkürliches Hochladen von Dateien. Dies liegt daran, dass die Custom-Fonts-Erweiterung einen Filter registriert, der Dateinamen mit .woff2 oder .ttf als gültig akzeptiert, ohne die Endung zu prüfen. Dadurch können Dateien mit doppelten Endungen wie shell.woff2.php hochgeladen werden, die als Schriftarten getarnt sind. Unauthentifizierte Angreifer können so ausführbare Dateien hochladen, was zu einer Remote-Code-Ausführung führt. Die Schwachstelle ist nur ausnutzbar, wenn die Premium-Version des Plugins mit den Erweiterungen WooCommerce Extra (Advanced Reviews) und Custom Fonts aktiviert ist; die kostenlose Version ist nicht betroffen.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- CVE: CVE-2026-15158
- Für wen relevant: Betreiber von WordPress-Websites, die das Blocksy Companion Plugin mit den genannten Erweiterungen einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht unauthentifizierte Angriffe mit potenzieller Remote-Code-Ausführung, was zu einer vollständigen Kompromittierung der Website führen kann.
- Quelle: NVD
WordPress-Plugin Popup Maker: Autorisierungslücke
Das WordPress-Plugin Popup Maker ist in allen Versionen bis einschließlich 1.22.0 anfällig für eine Autorisierungslücke. Das Plugin prüft nicht ausreichend, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Authentifizierte Angreifer mit Editor-Zugriff oder höher können so ein beliebiges Plugin von einer kontrollierten URL installieren und aktivieren, was zu einer Remote-Code-Ausführung führt. Voraussetzung ist eine aktive Popup Maker Pro-Lizenz und die noch nicht erfolgte Installation der Pro-Version.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- CVE: CVE-2026-8848
- Für wen relevant: Betreiber von WordPress-Websites, die das Popup Maker Plugin mit einer Pro-Lizenz einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht authentifizierte Angriffe mit potenzieller Remote-Code-Ausführung, was zu einer vollständigen Kompromittierung der Website führen kann.
- Quelle: NVD
WordPress-Plugin Divi Form Builder: Fehlende Autorisierung
Das WordPress-Plugin Divi Form Builder ist in allen Versionen bis einschließlich 5.1.8 anfällig für fehlende Autorisierungsprüfungen. Die Funktion update_user() akzeptiert eine Benutzer-ID aus Formularübermittlungen, ohne zu prüfen, ob der authentifizierte Benutzer berechtigt ist, dieses Konto zu bearbeiten. Die Funktion handle_register_submission() prüft lediglich, ob ein Benutzer eingeloggt ist, nicht jedoch die Berechtigungen für das Zielkonto. Authentifizierte Angreifer mit Subscriber-Zugriff oder höher können so E-Mail-Adresse und Passwort beliebiger Benutzerkonten ändern, einschließlich Administratoren, was zu einem vollständigen Kontodiebstahl führt.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- CVE: CVE-2026-5523
- Für wen relevant: Betreiber von WordPress-Websites, die das Divi Form Builder Plugin einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht authentifizierte Angriffe mit vollständiger Übernahme von Benutzerkonten, was zu Datenverlust oder Missbrauch führen kann.
- Quelle: NVD
Gitea: Sicherheitsvorkehrungen können umgangen werden
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Gitea ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Betreiber von Gitea-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke könnte zu unautorisiertem Zugriff auf Repositorys oder sensible Daten führen.
- Quelle: BSI CERT-Bund
KI-Coding-Assistenten: Zugriff auf beliebige Dateien durch Symlink-Schwachstelle
Eine Schwachstelle namens GhostApproval ermöglicht es Angreifern, über ein Repository mit bösartigem Code KI-Coding-Assistenten dazu zu bringen, auf beliebige Dateien zuzugreifen – auch außerhalb von Sandboxen. Betroffen sind Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Updates stehen für die meisten Tools zur Verfügung, für Augment und Windsurf jedoch noch nicht.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Entwickler und Unternehmen, die KI-Coding-Assistenten in der Softwareentwicklung einsetzen. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht den unautorisierten Zugriff auf sensible Dateien wie SSH-Schlüssel oder Projektkonfigurationen.
- Quelle: heise Security
Mozilla Firefox und Thunderbird: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Mozilla Thunderbird ausnutzen, um beliebigen Code auszuführen, Informationen offenzulegen, Sicherheitsbeschränkungen zu umgehen, Benutzer zu täuschen, Berechtigungen zu eskalieren oder Denial-of-Service-Zustände herbeizuführen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Nutzer und Unternehmen, die Mozilla Firefox oder Thunderbird einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken könnte zu Systemübernahme, Datenverlust oder Dienstverfügbarkeitsproblemen führen.
- Quelle: BSI CERT-Bund
Bitwarden: Sicherheitsvorkehrungen können umgangen werden
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Bitwarden ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Nutzer und Unternehmen, die Bitwarden als Passwortmanager einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücke könnte den unautorisierten Zugriff auf gespeicherte Anmeldedaten ermöglichen.
- Quelle: BSI CERT-Bund
Google Chrome: Mehrere Schwachstellen mit Codeausführung und Umgehung von Sicherheitsmechanismen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um Code auszuführen und Sicherheitsmechanismen zu umgehen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Nutzer und Unternehmen, die Google Chrome einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken könnte zu Systemübernahme oder Datenverlust führen.
- Quelle: BSI CERT-Bund
Chrome 150: 27 Schwachstellen behoben
Google hat mit Chrome 150 ein Sicherheitsupdate veröffentlicht, das 27 Schwachstellen behebt, darunter zwei kritische Fehler. Bei den kritischen Problemen handelt es sich um Use-After-Free-Fehler in den Komponenten Ozone und Views. Insgesamt wurden 13 Use-After-Free-Fehler behoben, darunter zehn mit hoher und einer mit mittlerer Schwere. Weitere behobene Schwachstellen umfassen uninitialisierte Nutzung, Integer-Overflow, Out-of-Bounds-Read und -Write sowie unzureichende Validierung von unsicheren Eingaben. Die meisten Fehler wurden von Google selbst entdeckt.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- Für wen relevant: Nutzer und Unternehmen, die den Google Chrome-Browser einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Schwachstellen könnten zu Speicherbeschädigungen, Codeausführung oder Abstürzen führen, was die Systemsicherheit gefährdet.
- Quelle: SecurityWeek
OpenClaw: Mehrere Schwachstellen mit erweiterten Rechten und Codeausführung
Ein Angreifer kann mehrere Schwachstellen in OpenClaw ausnutzen, um erweiterte Rechte zu erlangen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, Daten offenzulegen oder zu manipulieren oder andere, nicht näher spezifizierte Angriffe durchzuführen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Betreiber von OpenClaw-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Lücken könnten zu vollständiger Systemübernahme oder Datenverlust führen.
- Quelle: BSI CERT-Bund
GigaWiper: Destruktive Backdoor aus mehreren Malware-Komponenten
GigaWiper ist eine destruktive Backdoor, die mehrere Lösch- und Ransomware-ähnliche Funktionen in einer einzigen Plattform vereint. Die Analyse zeigt, wie die Malware Code aus mehreren zuvor separaten Malware-Familien übernimmt und bietet Verteidigern Handlungsempfehlungen zur Erkennung und Abwehr ähnlicher Bedrohungen.
- Priorität: Hoch (kritisch)
- Datum: 09.07.2026
- Für wen relevant: Unternehmen und Organisationen, die Windows-Systeme betreiben. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Die Backdoor kann zu Datenverlust, Systembeschädigungen und Betriebsunterbrechungen führen, was erhebliche geschäftliche und finanzielle Schäden verursachen kann.
- Quelle: Microsoft Security Blog
GitLab: Mehrere Schwachstellen ermöglichen Codeausführung
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in GitLab ausnutzen, um beliebigen Code auszuführen, Cross-Site-Scripting durchzuführen, Daten zu manipulieren oder vertrauliche Informationen offenzulegen.
- Priorität: Erhöht (hoch)
- Datum: 09.07.2026
- Für wen relevant: Betreiber von GitLab-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstellen ermöglichen Angreifern die Ausführung von Code, Manipulation von Daten oder Offenlegung vertraulicher Informationen, was zu erheblichen Sicherheitsrisiken führt.
- Quelle: BSI CERT-Bund
Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

