Im Mittelpunkt der aktuellen Sicherheitsmeldungen steht eine Schwachstelle in PAN-OS und Prisma Access, vor deren aktiver Ausnutzung Palo Alto Networks ausdrücklich warnt. Unter der Kennung CVE-2026-0257 (CVSS-Wert: 7,8) wird ein Fehler geführt, der eine Umgehung der Authentifizierung ermöglicht. Über diesen Weg lassen sich unberechtigt VPN-Verbindungen einrichten.

Die Lücke betrifft nach Angaben des Herstellers nicht alle Installationen, sondern greift nur unter bestimmten Voraussetzungen: Die Firewall muss mit einem GlobalProtect-Portal oder -Gateway konfiguriert sein, Authentifizierungs-Override-Cookies müssen aktiviert sein und es muss eine spezifische Zertifikatskonfiguration vorliegen. Trotz der Einstufung als mittelschwere Schwachstelle wird sie bereits in freier Wildbahn ausgenutzt.

CVE-2026-0257 ist nur einer von mehreren schwerwiegenden Fällen der Woche. Die Liste der bedeutsamen Schwachstellen umfasst stark verbreitete Produkte und reicht von hoch eingestuften bis zu bereits aktiv angegriffenen Lücken.

Dazu zählen unter anderem das WordPress-Plugin WP Maps Pro (CVE-2026-8732), Gitea (CVE-2026-27771), Microsoft SharePoint (CVE-2026-45659) sowie Casdoor (CVE-2026-9090 bis CVE-2026-9098). Betroffen sind außerdem Notepad++ (CVE-2026-48800, CVE-2026-48778, CVE-2026-48770), Flowise (CVE-2026-40933) und Google Chrome (CVE-2026-9872 bis CVE-2026-9893).

Weitere Einträge betreffen Veeam Backup & Replication (CVE-2026-32996, CVE-2026-32997), Plesk (CVE-2026-44962), GitLab (CVE-2026-4868, CVE-2026-1402, CVE-2026-6713), mehrere Oracle-Produkte (CVE-2026-46840, CVE-2026-46775, CVE-2026-46839, CVE-2026-2332) und Samba (CVE-2026-4480). Hinzu kommen eine als „Click Or Trick" bezeichnete Lücke in Microsoft Windows 11 (CVE-2025-59199), OpenVPN Connect für macOS (CVE-2026-9560) und der GitHub Enterprise Server (CVE-2026-9312).

Komplettiert wird die Aufstellung durch BIND 9 (CVE-2026-3593, CVE-2026-5946, CVE-2026-5947), Memcached (CVE-2026-47783), Apache CXF (CVE-2026-44930), ConnectWise Automate (CVE-2026-9089), PuTTY (CVE-2026-4115) und 7-Zip (CVE-2026-48095). Genannt werden zudem eine Argument-Injection-Schwachstelle in Gogs, eine Lücke zur Remote-Code-Ausführung in der Remote-SSH-Erweiterung von Microsoft Visual Studio Code sowie mehrere Schwachstellen in Roundcube Webmail.

Das wiederkehrende Muster der Woche ist die hohe Geschwindigkeit, mit der vermeintlich nebensächliche Schwachstellen zum Ausgangspunkt eines Vorfalls werden können. Angreifer setzen bevorzugt an den einfachsten Stellen an, weil dieser Weg weiterhin funktioniert.