Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.
Befehlseinschleusung in Fortinet FortiSandbox
Eine unsachgemäße Neutralisierung spezieller Elemente in Betriebssystembefehlen ermöglicht die Ausführung unautorisierter Befehle oder Code in Fortinet FortiSandbox. Angreifer können diese Schwachstelle ausnutzen, um ohne Authentifizierung und ohne Benutzerinteraktion Schadcode einzuschleusen. Die Lücke betrifft Versionen 4.4.0 bis 4.4.8 des Systems.
- Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
- Datum: 17.07.2026
- CVE: CVE-2026-39808, CVE-2026-25089
- Für wen relevant: Unternehmen, die Fortinet FortiSandbox zur Bedrohungserkennung einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Erfolgreiche Angriffe können zu unautorisierter Codeausführung und damit zu einem vollständigen Kompromittieren der betroffenen Systeme führen.
- Quelle: BleepingComputer
Berechtigungseskalation im WordPress-Plugin Bricksforge
Das WordPress-Plugin Bricksforge ist aufgrund einer unsachgemäßen Validierung des Feld-Parameters in der Pro-Forms-Registrierungsfunktion anfällig für eine Berechtigungseskalation. Angreifer können durch manipulierte Anfragen unautorisierte Administrator-Konten anlegen, sofern eine öffentliche Bricksforge Pro Forms-Registrierung mit der Benutzerregistrierungsfunktion aktiviert ist.
- Priorität: Hoch (kritisch (CVSS 9.8))
- Datum: 17.07.2026
- CVE: CVE-2026-14956
- Für wen relevant: Betreiber von WordPress-Websites, die das Plugin Bricksforge einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht die vollständige Übernahme der betroffenen WordPress-Installation durch die Erstellung privilegierter Konten.
- Quelle: NVD
Sicherheitsupdate für WordPress 7.0.2
WordPress 7.0.2 behebt eine kritische und eine hochkritische Sicherheitslücke. Die Entwickler haben für betroffene Versionen erzwungene automatische Updates aktiviert. Nutzer sollten ihre Installationen umgehend aktualisieren.
- Priorität: Hoch (kritisch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von WordPress-Websites. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Nicht gepatchte Systeme sind anfällig für Angriffe, die zu Datenmanipulation, Codeausführung oder vollständiger Übernahme der Website führen können.
- Quelle: WordPress Security
ProfilePress-Plugin: Unkontrolliertes Hochladen ausführbarer Dateien
Das WordPress-Plugin ProfilePress für Mitgliedschaften, E-Commerce, Registrierungsformulare, Login-Formulare, Benutzerprofile und Inhaltsbeschränkungen ist anfällig für willkürliches Hochladen von Dateien. Dies betrifft alle Versionen bis einschließlich 4.16.18. Ursache ist eine global registrierte Filterfunktion, die ausführbare Dateiendungen (.exe, .apk, .msi) zur WordPress-MIME-Zulassungsliste hinzufügt, ohne dies auf den Kontext digitaler Produkt-Uploads zu beschränken. Dadurch können authentifizierte Angreifer mit Autor-Rechten oder höher Dateien hochladen, die ausführbar sind und so eine Remote-Code-Ausführung ermöglichen.
- Priorität: Erhöht (hoch (CVSS 8.8))
- Datum: 17.07.2026
- CVE: CVE-2026-13352
- Für wen relevant: Unternehmen, die das ProfilePress-Plugin für WordPress einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff kann zur vollständigen Übernahme der WordPress-Instanz führen.
- Quelle: NVD
Schadcode-Attacken auf Microsoft SharePoint-Server
Angreifer nutzen eine kritische Sicherheitslücke in Microsoft SharePoint aus, um Schadcode einzuschleusen. Die Schwachstelle ermöglicht die Ausführung von beliebigem Code auf betroffenen Servern.
- Priorität: Hoch (kritisch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von Microsoft SharePoint-Servern. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücke kann zur vollständigen Kompromittierung der SharePoint-Infrastruktur und damit zu Datenverlust oder lateraler Bewegung im Netzwerk führen.
- Quelle: Golem Security
Mehrere Schwachstellen in Microsoft DeveloperTools
Mehrere Schwachstellen in Microsoft Visual Studio Code, Microsoft ASP.NET, Microsoft .NET und Microsoft Visual Studio 2026 können von Angreifern ausgenutzt werden, um Administratorrechte zu erlangen, Daten zu manipulieren, vertrauliche Informationen offenzulegen oder die Authentifizierung zu umgehen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Entwickler und Unternehmen, die Microsoft DeveloperTools nutzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken kann zu unautorisierten Zugriffen, Datenverlust oder der Kompromittierung ganzer Entwicklungs- und Produktionsumgebungen führen.
- Quelle: BSI CERT-Bund
Microsoft Office 365 (Moodle-Plugin): Sicherheitsumgehung mit Administratorzugriff
Eine Schwachstelle im Microsoft Office 365-Plugin für Moodle ermöglicht es einem entfernten, anonymen Angreifer, Sicherheitsvorkehrungen zu umgehen, Benutzer zu imitieren und sich erweiterte Berechtigungen, einschließlich Administratorzugriff, zu verschaffen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von Moodle-Installationen mit dem Microsoft Office 365-Plugin. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer kann durch die Ausnutzung der Schwachstelle vollständige Kontrolle über die Moodle-Instanz erlangen.
- Quelle: BSI CERT-Bund
Grav: Umgehung von Dateizugriffsbeschränkungen durch Fallunterscheidung
Die Standard-.htaccess-Datei von Grav bis Version 2.0.4 enthält Regeln zum Blockieren des Zugriffs auf sensible Dateitypen (.yaml, .php, .json u. a.), denen das [NC]-Flag fehlt. Dadurch wird die Groß-/Kleinschreibung bei der Dateityperkennung relevant. Auf Dateisystemen ohne Groß-/Kleinschreibung (Windows/NTFS, macOS/HFS+, Docker-Volumes) können Angreifer durch Anfragen mit Großbuchstaben oder gemischter Schreibweise (z. B. .YAML, .PHP) die Beschränkungen umgehen und sensible Konfigurationsdateien auslesen, die möglicherweise API-Schlüssel oder Zugangsdaten enthalten.
- Priorität: Erhöht (hoch (CVSS 8.7))
- Datum: 17.07.2026
- CVE: CVE-2026-62230
- Für wen relevant: Betreiber von Websites, die Grav bis Version 2.0.4 einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Der Zugriff auf vertrauliche Konfigurationsdaten kann zu unautorisierten Zugriffen oder Datenlecks führen.
- Quelle: NVD
Mehrere Schwachstellen in Google Chrome ermöglichen Codeausführung
Mehrere Schwachstellen in Google Chrome können von Angreifern ausgenutzt werden, um Speicherbeschädigungen herbeizuführen, beliebigen Code auszuführen, Daten zu manipulieren oder offenzulegen sowie Denial-of-Service-Zustände auszulösen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Nutzer und Unternehmen, die Google Chrome einsetzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung der Lücken kann zu Systemkompromittierung, Datenverlust oder der Installation von Schadsoftware führen.
- Quelle: BSI CERT-Bund
Mehrere Schwachstellen in nginx-ui ermöglichen Root-Codeausführung
Angreifer können mehrere Schwachstellen in nginx-ui ausnutzen, um beliebigen Code auszuführen – einschließlich der Ausführung mit Root-Rechten. Weitere mögliche Folgen sind die Erlangung erweiterter Rechte, Kontoübernahmen, das Umgehen von Sicherheitsmaßnahmen sowie die Offenlegung und Manipulation von Daten.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von nginx-ui-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstellen ermöglichen eine vollständige Übernahme der betroffenen Systeme und die Ausbreitung im Netzwerk.
- Quelle: BSI CERT-Bund
Red Hat Keycloak – mehrere Stellen betroffen
Bei Red Hat Keycloak sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. OAuth-Code-Manipulation in Red Hat Keycloak
In Red Hat Build of Keycloak werden OAuth-2.0-Autorisierungscodes nicht korrekt an den ursprünglichen Client gebunden. Angreifer, die einen Autorisierungscode abfangen, können diesen so modifizieren, dass er von ihrem eigenen Client eingelöst wird. Dadurch können sie Zugriffstoken für die Identität eines Opfers erlangen.
- Priorität: Beobachten (mittel (CVSS 5.4))
- Datum: 17.07.2026
- CVE: CVE-2026-16089
- Für wen relevant: Betreiber von Red Hat Keycloak-Instanzen. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Die Schwachstelle ermöglicht die unautorisierte Übernahme von Benutzeridentitäten und den Zugriff auf geschützte Ressourcen.
- Quelle: NVD
2. Umgehung von Client-Policies in Red Hat Keycloak
Red Hat Keycloak bietet Client-Policies, um Sicherheitsanforderungen wie die Nutzung signierter JWTs durchzusetzen. Eine Schwachstelle ermöglicht es Angreifern mit gültigen Client-Zugangsdaten, eine gefälschte, unsignierte Assertion vorzugeben und so die Policy-Erzwingung zu umgehen. Dadurch können sie sich mit einfacheren Methoden wie einem Client-Secret authentifizieren, selbst wenn strengere Methoden vorgeschrieben sind.
- Priorität: Beobachten (mittel (CVSS 5.4))
- Datum: 17.07.2026
- CVE: CVE-2026-16093
- Für wen relevant: Betreiber von Red Hat Keycloak-Instanzen. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Die Lücke ermöglicht die Umgehung von Sicherheitsrichtlinien und damit die unautorisierte Authentifizierung in geschützten Systemen.
- Quelle: NVD
Keycloak – mehrere Stellen betroffen
Bei Keycloak sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Keycloak: Umgehung des Brute-Force-Schutzes bei CIBA
In Keycloak wurde eine unvollständige Korrektur für CVE-2026-9798 festgestellt. Die Brute-Force-Schutzprüfung wurde im Handler für die Client-Initiierte Backchannel-Authentifizierung (CIBA) hinzugefügt, fehlt jedoch im Token-Einlöse-Handler. Dadurch kann ein Angreifer mit gültigen Client-Anmeldedaten Zugriffs- und Aktualisierungstokens für ein Benutzerkonto erhalten, das aufgrund von Brute-Force-Schutz gesperrt wurde, sofern die Authentifizierungsanfrage vor der Sperrung gestartet und vom Benutzer genehmigt wurde.
- Priorität: Beobachten (mittel (CVSS 4.3))
- Datum: 17.07.2026
- CVE: CVE-2026-16103, CVE-2026-9798
- Für wen relevant: Betreiber von Keycloak-Instanzen mit aktiviertem CIBA-Mechanismus. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Ein Angreifer kann trotz Sperrung weiterhin Zugriff auf das Konto erlangen und unautorisierte Aktionen durchführen.
- Quelle: NVD
2. Keycloak: Fehlende Autorisierungsprüfung im Admin-REST-API
Im Admin-REST-API von Keycloak fehlen Autorisierungsprüfungen, wenn ein delegierter Administrator versucht, eine untergeordnete Rolle aus einer zusammengesetzten Rolle zu entfernen. Dadurch kann ein Angreifer mit eingeschränkten administrativen Berechtigungen privilegierte Rollen entfernen, für die er keine Berechtigung besitzt. Dies führt zum Verlust des Zugriffs für andere Benutzer und Administratoren.
- Priorität: Beobachten (mittel (CVSS 4.9))
- Datum: 17.07.2026
- CVE: CVE-2026-16106
- Für wen relevant: Betreiber von Keycloak-Instanzen mit delegierten Administratoren. (für KMU: mittel – nur für Betroffene)
- Warum wichtig: Die Ausnutzung kann zu unautorisierten Rollenänderungen und Verlust der Zugriffsrechte für berechtigte Benutzer führen.
- Quelle: NVD
Ubuntu Linux: Mehrere Schwachstellen im ubuntu-pro-client
Mehrere Schwachstellen im ubuntu-pro-client von Ubuntu Linux können von einem Angreifer ausgenutzt werden, um beliebigen Programmcode mit Administratorrechten auszuführen und vertrauliche Informationen offenzulegen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von Ubuntu Linux-Systemen mit aktiviertem ubuntu-pro-client. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung ermöglicht die vollständige Kompromittierung des Systems und den Zugriff auf sensible Daten.
- Quelle: BSI CERT-Bund
Red Hat Enterprise Linux: Codeausführung in Cockpit
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Red Hat Enterprise Linux (Cockpit) ausnutzen, um beliebigen Programmcode auszuführen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von Red Hat Enterprise Linux-Systemen mit aktiviertem Cockpit. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung kann zur vollständigen Übernahme des Systems führen.
- Quelle: BSI CERT-Bund
Automatische Codeausführung in ForgeCode durch manipulierte Repositories
ForgeCode, ein KI-Pair-Programming-CLI, lädt und führt MCP-Server aus einem Repository automatisch aus, ohne eine Bestätigung des Nutzers abzuwarten. Ein bösartiges Repository kann eine manipulierte .mcp.json-Datei bereitstellen, die beliebige Befehle mit den Rechten des ausführenden Nutzers startet. Dies ermöglicht die Ausführung von Schadcode und schafft eine zuverlässige Möglichkeit für initiale Zugriffe und Persistenz.
- Priorität: Erhöht (hoch (CVSS 8.4))
- Datum: 17.07.2026
- CVE: CVE-2026-57860
- Für wen relevant: Entwickler, die ForgeCode in unvertrauenswürdigen Repositories nutzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Schwachstelle kann zur vollständigen Übernahme der Entwicklerumgebung oder zur Einschleusung von Backdoors führen.
- Quelle: NVD
memcached: Sicherheitsumgehung und Informationspreisgabe
Mehrere Schwachstellen in memcached können von einem entfernten, anonymen Angreifer ausgenutzt werden, um vertrauliche Informationen offenzulegen und die Authentifizierung zu umgehen. Dies ermöglicht möglicherweise weitere Angriffe auf das System.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von memcached-Instanzen. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung kann zu unautorisiertem Datenzugriff und erweiterten Angriffsmöglichkeiten führen.
- Quelle: BSI CERT-Bund
Rsync: Privilegieneskalation, Informationspreisgabe und Denial of Service
Mehrere Schwachstellen in Rsync können von einem Angreifer ausgenutzt werden, um seine Privilegien zu erhöhen, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen und einen Denial of Service-Angriff durchzuführen.
- Priorität: Erhöht (hoch)
- Datum: 17.07.2026
- Für wen relevant: Betreiber von Rsync-Servern oder -Clients. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Die Ausnutzung kann zu unautorisierten Zugriffen, Datenverlust und Systemausfällen führen.
- Quelle: BSI CERT-Bund
Grav API-Plugin – mehrere Stellen betroffen
Bei Grav API-Plugin sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Grav API-Plugin: Autorisierungsbypass durch ignorierte Berechtigungsbeschränkungen
Das Grav API-Plugin bis Version 1.0.6 enthält einen Autorisierungsbypass. API-Schlüssel können mit eingeschränkten Berechtigungen (z. B. schreibgeschützt) erstellt werden, doch die Klasse ApiKeyAuthenticator liest oder erzwingt diese Beschränkungen nicht. Stattdessen wird das vollständige Benutzerkonto des Schlüsselbesitzers zurückgegeben, sodass ein scheinbar eingeschränkter Schlüssel beliebige Schreib-, Lösch- oder Administrationsoperationen ausführen kann, für die der Benutzer berechtigt ist.
- Priorität: Erhöht (hoch (CVSS 8.6))
- Datum: 17.07.2026
- CVE: CVE-2026-62231
- Für wen relevant: Betreiber von Grav-Installationen mit aktiviertem API-Plugin bis Version 1.0.6. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer kann mit einem manipulierten API-Schlüssel vollständige Kontrolle über die Grav-Instanz erlangen.
- Quelle: NVD
2. Grav API-Plugin: Fehlende Super-Admin-Prüfung ermöglicht Eskalation
Das Grav API-Plugin bis Version 1.0.6 prüft in den Endpunkten createApiKey, generate2fa und disable2fa nicht die Super-Admin-Berechtigung. Dadurch können nicht-super-administrative Benutzer mit Schreibrechten API-Schlüssel für Super-Admins erstellen oder die Zwei-Faktor-Authentifizierung von Super-Admins deaktivieren. Dies ermöglicht die vollständige Übernahme der Instanz.
- Priorität: Erhöht (hoch (CVSS 8.7))
- Datum: 17.07.2026
- CVE: CVE-2026-62233
- Für wen relevant: Betreiber von Grav-Installationen mit aktiviertem API-Plugin bis Version 1.0.6. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff führt zur vollständigen Kompromittierung der Grav-Instanz durch Eskalation der Privilegien.
- Quelle: NVD
Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

