Die auffälligste Meldung der Woche ist die Kampagne „FortiBleed“. Nach Angaben von SOCRadar wurden Fortinet-FortiGate-Firewalls und SSL-VPN-Gateways weltweit systematisch angegriffen und kompromittiert. Die Aktivität laufe mindestens seit Februar 2026. SOCRadar spricht von mehr als 80.000 identifizierten Geräten, bei denen funktionierende Benutzernamen und Passwörter getestet worden seien.

Als mögliche Urheber nennt SOCRadar mutmaßlich russischsprachige Bedrohungsakteure, die automatisierte Werkzeuge ohne Unterbrechung einsetzen. Die US-Behörde CISA warnte Fortinet-Kunden mit FortiGate-Appliances vor andauernden bösartigen Aktivitäten, die sich gegen tausende direkt aus dem Internet erreichbare Systeme richten. Fortinet selbst erklärte, die Kampagne beruhe wahrscheinlich auch auf der Wiederverwendung von Zugangsdaten aus früheren Vorfällen, darunter CVE-2026-24858, CVE-2025-59718 und CVE-2025-59719. Hinzu kämen Brute-Force-Techniken gegen Geräte mit schwachen Passwörtern und ohne MFA.

Daneben fällt die schiere Menge an Schwachstellen auf, die in dieser Woche als besonders relevant hervorgehoben wurden. Genannt werden unter anderem CVE-2026-20262 in Cisco SD-WAN Manager, CVE-2026-54420 im LiteSpeed cPanel Plugin, CVE-2026-48907 im Widget Factory Joomla Content Editor, CVE-2026-4020 im Gravity SMTP WordPress Plugin, mehrere Schwachstellen in LiteLLM, darunter CVE-2026-47101, CVE-2026-47102, CVE-2026-40217 und CVE-2026-49468, sowie CVE-2026-24190 im NVIDIA Display Driver für Windows und Linux.

Ebenfalls auf der Liste stehen CVE-2026-48558 in SimpleHelp, CVE-2026-39449 im WordPress-Plugin Contact Form to Any API, CVE-2026-39849 und CVE-2026-44693 in Pi-hole FTL, dazu CVE-2026-49980, CVE-2026-41179 und CVE-2026-41176 in Rclone. Hinzu kommen CVE-2026-54157 in @lobehub/lobehub, CVE-2026-48746 in vllm, CVE-2026-48519 in Langflow, CVE-2026-38329 in Bludit CMS und CVE-2026-39949 in Cacti.

Ein großer Teil der gemeldeten Lücken betrifft WordPress-Komponenten. Dazu zählen unter anderem CVE-2026-8444 und CVE-2026-8443 im WP Review Slider Pro WordPress plugin, CVE-2026-52697 in Taskbuilder, CVE-2026-52700 in WCMultiShipping, CVE-2026-3326 im XStore WordPress theme, CVE-2026-2418 in Login with Salesforce, CVE-2026-6379 in WP Photo Album Plus, CVE-2026-2446 in PowerPack for LearnDash, CVE-2025-15445 im Restaurant Cafeteria WordPress theme, CVE-2026-6933 in Premmerce Dev Tools, CVE-2026-9848 in WP Ticket Customer Service Software & Support Ticket System, CVE-2026-52707 im Kastell WordPress theme, CVE-2026-52703 in FastDup, CVE-2026-52706 in JetEngine, CVE-2026-27429 im Nifty WordPress theme, CVE-2025-69129 in WordPress & WooCommerce Scraper, CVE-2026-27400 in BookPro und CVE-2026-8713 im Avada Builder WordPress plugin.

Auch Browser und Plattformkomponenten sind betroffen. Genannt werden die Chrome-Lücken von CVE-2026-12437 bis CVE-2026-12443, außerdem CVE-2026-12326, CVE-2026-12327 und CVE-2026-12328 in Mozilla Firefox. Weitere Einträge betreffen CVE-2026-8049 und CVE-2026-8050 im SignalRGB-Kerneltreiber, CVE-2026-20266 im Splunk AI Toolkit, mehrere Schwachstellen in Atlassian Confluence Data Center and Server mit CVE-2026-41293, CVE-2026-43512, CVE-2026-42579, CVE-2026-42584 und CVE-2026-43515 sowie CVE-2026-20181 und CVE-2026-20190 in Cisco Identity Services Engine und ISE Passive Identity Connector.

Ergänzt wird die Liste durch CVE-2026-48933 und CVE-2026-48618 in Node.js, CVE-2026-9862 in Fortra Core Privileged Access Manager sowie mehrere Schwachstellen in der Crawl4AI Docker API, für die keine CVE-Nummern genannt werden. Der zugrunde liegende Rückblick beschreibt das Wochenbild als bekanntes Muster aus missbrauchten Integrationen, gefälschten Werkzeugen, manipulierten Websites, Ransomware-Gruppen, die Sicherheitswerkzeuge abschalten wollen, und mobiler Schadsoftware mit weitreichenden Berechtigungen.