KW 25/2026: Ruhigeres Schwachstellenbild, aber anhaltender Druck durch Ransomware und Zero-Days

Überblick und Einordnung der Woche

Im Wochenvergleich wirkte das Bild bei neu bekannt gewordenen und aktiv ausgenutzten Schwachstellen etwas ruhiger als zuletzt. Entwarnung ergibt sich daraus allerdings nicht: Im Mittelpunkt standen erneut Lücken in besonders exponierten Administrations- und Web-Komponenten, also genau dort, wo Sicherheitsprobleme häufig unmittelbare Auswirkungen auf die Angriffsfläche von Organisationen haben. Auffällig ist, dass sich die Meldungen auf Werkzeuge und Plattformen konzentrieren, die typischerweise tief in Betriebsabläufe eingebunden sind — von Content-Management-Erweiterungen über SIEM- und Log-Management bis hin zu Hosting-Verwaltung und SD-WAN-Steuerung.

Parallel dazu blieb die Ransomware-Lage angespannt. Mehrere bekannte Gruppen traten weiterhin sichtbar in Erscheinung, und die Wochenlage zeigt, dass auch Organisationen im deutschsprachigen Raum im Fadenkreuz standen. Das unterstreicht eine Entwicklung, die sich seit Längerem beobachten lässt: Selbst wenn das Schwachstellenbild kurzfristig etwas weniger hektisch erscheint, bleibt der operative Druck durch Erpressungsakteure hoch. Besonders relevant ist dabei die Überschneidung beider Themenfelder: Schwachstellen in zentralen Management- und Web-Oberflächen sind regelmäßig attraktive Einstiegspunkte oder Beschleuniger für spätere Kompromittierungen.

Die begleitende Nachrichtenlage verstärkte diesen Eindruck. Neben Meldungen zu aktiv ausgenutzten Lücken bei Cisco rückte auch eine von Google geschlossene Chrome-0-Day-Lücke in den Fokus. Zusammengenommen ergibt sich ein Wochenbild, das weniger von Breite als von Schwere geprägt ist: weniger neue Schlaglichter, dafür mehrere sicherheitsrelevante Themen mit unmittelbarer Praxisrelevanz.

Schwachstellen und ausgenutzte Sicherheitslücken

Bei den Schwachstellen sticht zunächst CVE-2026-48907 in der Joomla-Erweiterung Widget Factory Joomla Content Editor hervor. Die Lücke ist vor allem deshalb brisant, weil sie eine nicht authentisierte Einflussnahme auf Editor-Profile ermöglicht. Gerade in Content-Management-Umgebungen sind solche Schwachstellen sicherheitstechnisch heikel, weil sie nicht nur einzelne Redaktionsfunktionen betreffen können, sondern potenziell den Weg für weitergehende Manipulationen an Webinhalten oder Administrationsabläufen ebnen. Dass die Schwachstelle in einer weit verbreiteten Erweiterungskomponente liegt, erhöht die Relevanz für Betreiber, die Joomla-Installationen mit zusätzlicher Funktionalität ausgebaut haben.

Ebenfalls bedeutsam ist CVE-2026-20253 in Splunk Enterprise. Wenn eine nicht authentisierte Interaktion in einer Plattform möglich wird, die in vielen Umgebungen sicherheitsrelevante Telemetrie sammelt, korreliert und für Betriebs- wie Sicherheitsanalysen genutzt wird, geht die technische Tragweite über ein gewöhnliches Produktproblem hinaus. Splunk ist in vielen Organisationen kein Randwerkzeug, sondern Teil der zentralen Sicht auf Logs, Erkennungsregeln und Betriebszustände. Schwachstellen in dieser Art von Plattform können deshalb nicht nur für direkte Kompromittierungsszenarien interessant sein, sondern auch für Angreifer, die Einblick in Verteidigungsmechanismen gewinnen oder Spuren verwischen wollen.

Mit CVE-2026-54420 beim LiteSpeed cPanel Plugin kommt eine weitere Lücke hinzu, die vor allem im Hosting- und Administrationskontext relevant ist. Die fehlerhafte Behandlung von durch Nutzer bereitgestellten Symlinks weist auf ein klassisches Problem an der Schnittstelle zwischen Komfortfunktionen und sicherer Rechte- beziehungsweise Dateisystemtrennung hin. Solche Fehler sind in gemeinsam genutzten oder stark automatisierten Hosting-Umgebungen besonders kritisch, weil sie schnell über den Einzelfall hinausreichen und benachbarte Bereiche eines Systems berühren können. Für Betreiber von cPanel- und WHM-nahen Umgebungen ist das ein weiterer Hinweis darauf, dass Erweiterungen und Integrationsmodule mindestens so sorgfältig betrachtet werden müssen wie die Basissysteme selbst.

Besonders aufmerksam verfolgt wurde CVE-2026-20262 in Cisco Catalyst SD-WAN Manager. Bereits die Kurzbeschreibung macht deutlich, dass es sich um eine Schwachstelle in der Web-Oberfläche handelt, also in einem Bereich, der für Administration und zentrale Steuerung essenziell ist. Genau solche Komponenten sind aus Sicht von Angreifern attraktiv, weil sie Zugriff auf Netzwerklogik, Konfigurationen und Betriebsinformationen bündeln. Hinzu kommt die hohe Sichtbarkeit des Themas in der Berichterstattung: Mehrere Meldungen drehten sich um aktiv ausgenutzte Lücken in Cisco Catalyst SD-WAN Manager, darunter auch Hinweise auf weitere Zero-Day-Probleme. Auch ohne jede einzelne Schwachstelle hier im Detail zu benennen, ist die Einordnung klar: Die Management-Ebene von SD-WAN-Infrastrukturen steht aktuell besonders im Fokus und verlangt von betroffenen Organisationen erhöhte Priorität bei Prüfung, Härtung und Aktualisierung.

Bemerkenswert ist zudem die thematische Klammer dieser Woche. Es geht nicht um exotische Nischenprodukte, sondern um typische Bausteine moderner IT-Landschaften: Web-Editoren für Content-Systeme, Analyseplattformen, Hosting-Plugins und Netzwerk-Management. Diese Streuung über unterschiedliche Ebenen hinweg erschwert pauschale Gegenmaßnahmen. Stattdessen zeigt die Woche sehr deutlich, dass Angriffsflächen entlang des gesamten Betriebsmodells gepflegt werden müssen — von öffentlich erreichbaren Webkomponenten über interne Management-Oberflächen bis zu administrativen Erweiterungen.

Die begleitende Meldung „Google schließt aktiv ausgenutzte Chrome-0-Day-Lücke“ ergänzt dieses Bild um die Endpoint- und Browser-Perspektive. Auch wenn im vorliegenden Wochenmaterial keine CVE-Nummer dazu genannt ist, passt die Meldung in das Muster einer Woche, in der zentrale Arbeits- und Administrationswerkzeuge betroffen waren. Browser-Lücken und Schwachstellen in Management-Plattformen bilden zusammen eine gefährliche Kombination, weil sie unterschiedliche Phasen möglicher Angriffsketten adressieren: den initialen Zugriff auf Nutzerseite einerseits und die Ausweitung oder Vertiefung eines Angriffs über Verwaltungsoberflächen andererseits.

Ransomware-Lage

Bei den aktiven Bedrohungsgruppen zeigte sich in dieser Woche eine anhaltend hohe Präsenz mehrerer etablierter und teils sehr opportunistisch agierender Akteure. Genannt werden unter anderem thegentlemen, lockbit5, qilin, shinyhunters, nova, safepay und Deadlock. Bereits diese Auswahl macht deutlich, dass die Lage nicht durch eine einzelne Kampagne dominiert wurde, sondern durch parallele Aktivität verschiedener Gruppen mit unterschiedlichen Vorgehensmustern und Zielprofilen.

Lockbit5 bleibt allein aufgrund des Namens und der Anschlussfähigkeit an bekannte Erpressungsmuster ein Signal für fortgesetzten Marktdruck im Ransomware-Ökosystem. Qilin steht ebenfalls für eine weiterhin belastbare operative Aktivität professionell auftretender Akteure. Safepay, nova und Deadlock unterstreichen, dass das Feld nicht nur von besonders prominenten Marken geprägt wird, sondern auch von Gruppen, die sich im Wettbewerb um Sichtbarkeit, Opferzugang und Druckmittel positionieren. Thegentlemen und shinyhunters ergänzen das Bild um Akteure, deren Auftreten zeigt, wie durchlässig die Grenzen zwischen Datenabfluss, Erpressung und klassischer Ransomware-Kommunikation inzwischen geworden sind.

Für die Einordnung entscheidend ist weniger die bloße Namensliste als die Breite des beobachteten Aktivitätsmusters. Die Woche spricht für ein Umfeld, in dem mehrere Gruppen parallel handlungsfähig sind und unterschiedliche Einfallstore nutzen können. Dazu passen die gleichzeitig diskutierten Schwachstellen in Web- und Management-Oberflächen: Solche Lücken bilden immer wieder den technischen Unterbau für spätere Erpressungslagen, selbst wenn zwischen Erstzugriff und öffentlicher Bekanntmachung eines Vorfalls oft Zeit vergeht.

Besonders relevant ist der Hinweis, dass auch Einrichtungen im deutschsprachigen Raum betroffen waren. Das rückt die Wochenlage näher an die hiesige Praxis: Es handelt sich nicht um ein entferntes Phänomen in anderen Märkten, sondern um eine Bedrohung mit unmittelbarem regionalem Bezug. Gerade für Organisationen mit internetnahen Diensten, verteilten Standorten oder komplexen Partner- und Hosting-Strukturen ist die Kombination aus fortlaufender Gruppenaktivität und verwundbaren Management-Komponenten ein ernstzunehmendes Risikobild.

Auffällig ist außerdem, dass die beobachteten Gruppen als Auswahl der aktivsten Akteure genannt werden und damit eher für die Spitze als für die Gesamtheit des Marktes stehen. Das legt nahe, dass die sichtbare Aktivität nur einen Teil des tatsächlichen Geschehens abbildet. Für die operative Bewertung bedeutet das: Auch in einer Woche, die bei neu ausgenutzten Schwachstellen ruhiger erscheint, kann die Erpressungslage unverändert rau bleiben. Die Angreiferlandschaft agiert kontinuierlich, und ihre Taktung ist nicht zwingend deckungsgleich mit dem öffentlichen Nachrichtenrhythmus rund um einzelne CVEs.

Bemerkenswerte Vorfälle und Themen der Woche

Die Artikellage wurde klar von zwei Themenclustern geprägt: Google und Cisco. Die Meldung „Google schließt aktiv ausgenutzte Chrome-0-Day-Lücke“ lenkte den Blick auf den Browser als unmittelbar exponierte Anwendung im Alltag nahezu jeder Organisation. Solche Fälle sind stets deshalb besonders relevant, weil Browser einerseits universell eingesetzt werden und andererseits häufig die erste Berührungslinie mit schädlichen Inhalten, präparierten Websites oder missbräuchlichen Weiterleitungen darstellen. Wenn eine Lücke dort bereits aktiv ausgenutzt wird, erhält das Thema unabhängig von Details sofort operative Priorität.

Noch dominanter war Cisco in der Berichterstattung. Mit „Cisco schließt aktiv ausgenutzte Lücke in Catalyst SD-WAN Manager“, „Cisco schließt weiteres aktiv ausgenutztes Zero-Day in Catalyst SD-WAN Manager“ und „Cisco schließt aktiv ausgenutzte Zero-Day-Lücke in Catalyst SD-WAN Manager“ verdichtete sich die Nachrichtenlage zu einem klaren Warnsignal für alle Betreiber entsprechender Umgebungen. Mehrere ähnlich gelagerte Meldungen in kurzer Folge sind in der Regel Ausdruck eines Problems, das nicht isoliert betrachtet werden sollte. Sie deuten vielmehr darauf hin, dass ein Produktbereich oder eine Management-Ebene verstärkt unter Druck steht — sei es durch gezielte Forschung, aktive Angriffe oder beides zugleich.

Inhaltlich ist daran vor allem bemerkenswert, dass mit Catalyst SD-WAN Manager ausgerechnet eine Plattform im Fokus stand, die für die Steuerung verteilter Netzwerkinfrastrukturen zentral ist. Wer hier eine Schwachstelle ausnutzen kann, bewegt sich potenziell an einem hoch privilegierten Punkt der Umgebung. Das macht die Cisco-Meldungen der Woche nicht nur zu einem Hersteller- oder Produktproblem, sondern zu einem strukturellen Thema für Organisationen, die stark auf zentrale Netzwerkorchestrierung setzen.

Zusammen mit den übrigen Schwachstellen entsteht daraus ein konsistentes Wochenbild: Web- und Verwaltungsoberflächen bleiben besonders attraktive Angriffsziele, und die öffentliche Berichterstattung reagiert vor allem dort intensiv, wo aktive Ausnutzung bereits bestätigt ist. Die Woche war damit zwar etwas ruhiger als die Vorwoche, aber keineswegs entspannt. Statt einer breiten Schwachstellenflut sahen wir einige klar umrissene Themen mit hoher praktischer Bedeutung — insbesondere rund um Cisco Catalyst SD-WAN Manager, die Chrome-0-Day-Meldung von Google sowie die auffällige Parallelität fortgesetzter Ransomware-Aktivität.