Die schwerwiegendste Meldung der Woche betrifft Ciscos SD-WAN-Infrastruktur. Die als CVE-2026-20127 geführte Schwachstelle erreicht mit einem CVSS-Wert von 10.0 die maximale Einstufung und betrifft den Cisco Catalyst SD-WAN Controller (früher vSmart) sowie den Catalyst SD-WAN Manager (früher vManage).

Der Fehler ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, durch das Senden einer manipulierten Anfrage die Authentifizierung zu umgehen und administrative Rechte auf einem betroffenen System zu erlangen. Cisco zufolge wird die Lücke aktiv ausgenutzt, wobei die zugehörige Aktivität bis 2023 zurückverfolgt werden kann.

Cisco führt die Ausnutzung und die nachfolgenden Aktivitäten unter der Bezeichnung UAT-8616 und stuft die dahinterstehende Gruppierung als “hochentwickelten Cyber-Bedrohungsakteur” ein. Für die Meldung der Schwachstelle nennt der Hersteller das Australian Cyber Security Centre der Australian Signals Directorate (ASD-ACSC).

Neben der SD-WAN-Lücke verweist der Überblick auf eine ganze Reihe weiterer Schwachstellen, die vorrangig geprüft und behoben werden sollten. Im Cisco-Umfeld zählen dazu neben CVE-2026-20127 auch CVE-2026-20122, CVE-2026-20126 und CVE-2026-20128.

Weitere als kritisch eingestufte Lücken betreffen SolarWinds Serv-U (CVE-2025-40538 bis CVE-2025-40541), jsPDF (CVE-2026-25755), HPE Telco Service Activator (CVE-2025-12543), Broadcom VMware Aria Operations (CVE-2026-22719 bis CVE-2026-22721), Google Chrome (CVE-2026-3061 bis CVE-2026-3063), CryptoPro Secure Disk for BitLocker (CVE-2025-10010), Zyxel (CVE-2025-13942, CVE-2025-13943, CVE-2026-1459), Trend Micro Apex One (CVE-2025-71210, CVE-2025-71211), die ServiceNow AI Platform (CVE-2026-0542), telnetd (CVE-2026-24061), Juniper Networks Junos OS (CVE-2026-21902), das Gardyn Home Kit (CVE-2025-29631, CVE-2025-1242), FreeBSD (CVE-2025-15576), Akamai (CVE-2026-26365), Angular (CVE-2026-27739) sowie Samsung Tizen OS (SVE-2025-50109).

Der Überblick ordnet die Einzelfälle in ein größeres Bild ein: Infrastruktur, KI-Plattformen, Cloud-Dienste und Drittanbieter-Werkzeuge sind eng miteinander verzahnt, sodass eine Belastung in einem Bereich häufig einen anderen angreifbar macht. Kleine Lücken in der Zugriffskontrolle, offengelegte Schlüssel und normale Funktionen würden dabei zunehmend als Einstiegspunkte genutzt.