US-Beamte vermuten, dass iranische Hacker automatische Tankfüllstandsmesser (Automatic Tank Gauge, ATG) an Tankstellen in mehreren Bundesstaaten kompromittiert haben. Die Angreifer nutzten ungeschützte, mit dem Internet verbundene Geräte ohne Passwort aus und konnten Anzeigewerte verändern, nicht jedoch die tatsächlichen Füllmengen. Physische Schäden oder Sicherheitsvorfälle traten bislang nicht auf; es bestehen jedoch Sorgen, dass ein solcher Zugriff Lecks verdecken oder andere Risiken für kritische Infrastruktur schaffen könnte. Vor exponierten ATG-Systemen warnt die Branche seit Langem.

Bei den industriellen Mobilfunkroutern Four-Faith F3x36 wird CVE-2024-9643 ausgenutzt, eine Authentifizierungsumgehung, die auf fest einprogrammierten Administrator-Zugangsdaten beruht. CrowdSec verzeichnet seit Ende April 2026 einen starken Anstieg der Angriffe, die Mitte Mai das Niveau einer Massenausnutzung erreichten; die übernommenen Geräte werden in Botnetze für weitere Kampagnen eingebunden. Auch andere Schwachstellen in Four-Faith-Routern wurden bereits angegriffen.

Eine Zero-Day-Lücke in der Software von Huawei-Enterprise-Routern verursachte im Juli 2025 einen vollständigen Ausfall des luxemburgischen Telekomnetzes. Über drei Stunden lang fielen Festnetz-, 4G- und 5G-Dienste aus. Speziell präparierter Netzwerkverkehr zwang die Router in eine Endlosschleife aus Neustarts und störte die Notrufkommunikation für Hunderttausende Einwohner. POST Luxembourg bestätigte einen Denial-of-Service-Vorfall, der ein nicht dokumentiertes Verhalten ausnutzte, für das damals kein Patch existierte. Ob die Lücke inzwischen behoben wurde, ist unklar.

Laut Brian Krebs hielt ein Auftragnehmer von CISA über Monate ein öffentlich zugängliches GitHub-Repository namens „Private-CISA" offen und legte damit administrative Schlüssel zu mehreren AWS-GovCloud-Konten sowie Klartext-Passwörter für interne CISA-Systeme offen. CISA erklärt, es gebe bislang keine Hinweise auf unbefugten Zugriff auf sensible Daten; die Zugangsdaten hätten Angreifern jedoch seitliche Bewegungen in Behördensysteme oder das Manipulieren interner Softwarepakete ermöglichen können.

Anthropic hat in seiner Schwachstellen-Plattform Mythos eine Funktion eingeführt, mit der Nutzer Informationen zu Cyberbedrohungen austauschen können, um die schnellere Verbreitung von Bedrohungsdetails unter Sicherheitsteams zu fördern. Cloudflare ließ Anthropics Mythos-Modell gegen mehr als 50 interne Repositorys laufen. Das Modell fiel positiv dadurch auf, dass es Exploit-Ketten aus mehreren Schwachstellen niedriger Schwere konstruieren und eigenständig funktionierende Proof-of-Concepts erzeugen konnte. Cloudflare nannte zugleich Schwächen: uneinheitliche Verweigerungen bei legitimen Forschungsaufgaben, hohe Falsch-Positiv-Raten besonders in C/C++-Codebasen und die Notwendigkeit eines mehrstufigen Aufbaus statt eines generischen Agenteneinsatzes.

Der Forscher Chinmohan Nayak entdeckte in Open WebUI eine hochgradig kritische SSRF-Schwachstelle (CVE-2026-45401). Sie erlaubt es, die URL-Prüfung über die Verarbeitung von Weiterleitungen zu umgehen und auf interne Ressourcen einschließlich Cloud-Metadaten-Endpunkte zuzugreifen. Laut Nayak prüfte die Anwendung ausgehende Anfragen nur für die erste Anfrage, nicht für Weiterleitungsketten.

Schließlich hat CISA ein Online-Nominierungsformular eingeführt, über das Forscher, Hersteller und Branchenpartner bekannte ausgenutzte Schwachstellen (KEV) direkt zur schnelleren Prüfung und Aufnahme in den Katalog einreichen können. Das Werkzeug ergänzt die bisherige Einreichung per E-Mail.