Sonntag · 12.07.2026 Ausgabe 3378 RSS
Nachrichten Cybersicherheit täglich
Wochenreport KW 28/2026

KW 28/2026: Mehr aktiv ausgenutzte Lücken bei ColdFusion, Langflow und Joomla-Erweiterungen

Die Woche war von einer spürbaren Zunahme neu ausgenutzter Schwachstellen geprägt, insbesondere bei Adobe ColdFusion, Langflow und mehreren Joomla-Erweiterungen. Parallel blieb die Ransomware-Lage angespannt, während auch im deutschsprachigen Raum Vorfälle sichtbar wurden und ein Schlag gegen NetNut die Berichterstattung mitbestimmte.

6 Aktiv ausgenutzte CVEs (KEV)
5 davon kritisch (CVSS)
240 Ransomware-Opfer
36 Aktive Gruppen

Überblick und Einordnung der Woche

Die Lage wirkte in dieser Woche angespannter als zuletzt. Auffällig war vor allem, dass sich der Schwerpunkt deutlich auf mehrere neu beziehungsweise frisch bestätigte ausgenutzte Schwachstellen verlagerte. Besonders im Fokus standen dabei Adobe ColdFusion, Langflow und verschiedene Joomla-Erweiterungen. Dass mehrere dieser Lücken zeitnah in den KEV-Katalog aufgenommen wurden, unterstreicht, dass es sich nicht nur um theoretische Risiken handelt, sondern um Schwachstellen mit unmittelbarer Relevanz für den operativen Betrieb.

Damit zeigt sich ein Muster, das sich durch die gesamte Woche zog: Angreifer konzentrieren sich weiterhin auf weit verbreitete Webanwendungen, servernahe Plattformen und Komponenten, die oft direkt aus dem Internet erreichbar sind oder in Content- und Automatisierungsumgebungen eine zentrale Rolle spielen. Gerade die Mischung aus klassischer Unternehmenssoftware wie ColdFusion, modernen Workflow- und KI-nahen Plattformen wie Langflow sowie Erweiterungen im Joomla-Ökosystem macht deutlich, dass die Angriffsfläche breit bleibt und sich nicht auf einen einzelnen Technologiebereich beschränkt.

Parallel dazu blieb die Ransomware-Lage hochdynamisch. Mehrere bekannte Gruppen waren weiterhin aktiv, und auch Einrichtungen im deutschsprachigen Raum tauchten im Umfeld der beobachteten Kampagnen auf. Das spricht dafür, dass die Bedrohungslage für hiesige Organisationen keineswegs abstrakt ist, sondern unmittelbar in die regionale Risikobetrachtung einfließt. Hinzu kam mit dem Schlag gegen NetNut ein Thema, das über einzelne Schwachstellenmeldungen hinausweist und die Infrastruktur der Angreifer beziehungsweise ihrer Dienstleister in den Blick rückt.

Die inhaltliche Klammer dieser Woche ist damit klar: Es ging weniger um ein einzelnes dominierendes Großereignis als um die Verdichtung mehrerer relevanter Entwicklungen. Einerseits häuften sich Meldungen zu aktiv ausgenutzten Lücken in exponierten Systemen, andererseits blieb der Druck durch Ransomware-Kampagnen konstant hoch. Ergänzt wurde dieses Bild durch Berichte zu möglichen Codeausführungen über präparierte Inhalte im Mail-Umfeld, was die Aufmerksamkeit zusätzlich auf alltägliche Angriffsvektoren lenkte.

Schwachstellen und ausgenutzte Sicherheitslücken

Im Zentrum stand Adobe ColdFusion mit CVE-2026-48282. Die Schwachstelle betrifft eine unzureichende Beschränkung von Pfadangaben und ist damit in einer Produktkategorie angesiedelt, die in vielen Umgebungen besonders sensibel ist: serverseitige Anwendungsplattformen, die häufig tief in interne Prozesse eingebunden sind. Wenn gerade solche Systeme in den Fokus aktiver Ausnutzung geraten, erhöht das den Handlungsdruck erheblich, weil erfolgreiche Angriffe hier nicht nur einzelne Anwendungen treffen können, sondern oft auch nachgelagerte Systeme und Datenflüsse berühren.

Ebenso relevant war Langflow mit CVE-2026-55255. Dass Langflow in derselben Woche in Verbindung mit aktiv ausgenutzten Schwachstellen und der KEV-Aufnahme genannt wurde, ist sicherheitspolitisch bemerkenswert. Plattformen dieser Art finden ihren Weg oft schnell in Entwicklungs-, Test- und produktionsnahe Umgebungen. Dadurch entsteht ein Spannungsfeld zwischen Innovationsgeschwindigkeit und Sicherheitsreife. Wenn eine solche Komponente unter realen Angriffsbedingungen steht, wird sichtbar, wie wichtig belastbare Update-Prozesse, Segmentierung und die Absicherung öffentlich erreichbarer Instanzen sind.

Ein weiterer Schwerpunkt lag auf dem Joomla-Umfeld. Mit CVE-2026-48908 in JoomShaper SP Page Builder, CVE-2026-48939 in iCagenda iCagenda, CVE-2026-56290 in Joomlack Page Builder und CVE-2026-56291 in Balbooa Forms tauchten gleich mehrere Schwachstellen in Erweiterungen auf, die typischerweise in Content-getriebenen Webauftritten eingesetzt werden. Gerade diese Ballung ist ein starkes Signal: Nicht nur die Kernsysteme selbst, sondern vor allem deren Plugin- und Erweiterungsökosysteme bleiben ein bevorzugtes Angriffsziel. In der Praxis sind es häufig genau solche Zusatzkomponenten, die über längere Zeit mitlaufen, eine hohe Funktionsdichte besitzen und in Sicherheitsprozessen weniger Aufmerksamkeit erhalten als das Basissystem.

Für Verteidiger ist das deshalb relevant, weil sich aus dieser Woche kein isolierter Herstellerbefund ableiten lässt, sondern ein strukturelles Problem. Bei ColdFusion geht es um eine etablierte Anwendungsplattform, bei Langflow um eine modernere Speziallösung, bei Joomla-Erweiterungen um das Ökosystem rund um Webpräsenzen. Gemeinsam ist all diesen Fällen, dass sie entweder öffentlich erreichbar sind oder in typischen Betriebsmodellen von außen erreichbar gemacht werden. Genau dort entsteht aus einer einzelnen Schwachstelle schnell ein Einfallstor.

Dass CISA mehrere der genannten Lücken in den KEV-Katalog aufgenommen hat, verleiht der Lage zusätzlich Gewicht. Eine solche Aufnahme ist ein starkes Indiz dafür, dass Ausnutzung nicht bloß antizipiert wird, sondern bereits praktisch beobachtet wurde oder kurzfristig als besonders wahrscheinlich gilt. Für Administratoren bedeutet das, Priorisierung nicht allein auf Basis abstrakter Schweregrade vorzunehmen, sondern anhand der realen Angriffslage. Diese Woche lieferte dafür ein klares Beispiel.

Ergänzend rückte mit der Meldung zur XSS-Lücke im Zimbras Classic Web Client ein weiterer Aspekt in den Fokus: der Angriff über präparierte E-Mails. Auch wenn dieser Fall in den Wochenartikeln separat behandelt wurde und nicht Teil der oben gelisteten Top-Schwachstellen ist, passt er in das Gesamtbild einer Woche, in der Anwendungen mit direkter Nutzerinteraktion besonders stark unter Beobachtung standen. Das Szenario ist deshalb brisant, weil es technische Schwachstellen mit einem vertrauten Kommunikationskanal verbindet. Wenn E-Mail-Inhalte zur Ausführung von Code missbraucht werden können, schrumpft die Distanz zwischen Phishing, Client-Angriff und möglicher Kompromittierung deutlich.

In der Summe war die Schwachstellenlage dieser Woche also nicht nur wegen der einzelnen CVEs relevant, sondern wegen der Kombination aus aktiver Ausnutzung, hoher Exponiertheit der betroffenen Produkte und der Streuung über verschiedene Technologieebenen hinweg. Wer seine Prioritäten für Patching, Härtung und Monitoring neu ordnen musste, bekam dafür in dieser Woche mehrere deutliche Hinweise.

Ransomware-Lage

Bei den aktiven Gruppen fielen Deadlock, thegentlemen, qilin, akira, lockbit5, safepay und Booba Project besonders auf. Schon diese Auswahl zeigt, dass die Ransomware-Szene weiterhin von einer Mischung aus etablierten Namen, markenähnlichen Fortsetzungen und operativ sichtbaren Akteuren geprägt ist. Das Bild ist weniger von einem einzelnen dominierenden Cluster bestimmt als von paralleler Aktivität mehrerer Gruppen, die unterschiedliche Ziele und Vorgehensweisen kombinieren.

Für die Einordnung ist wichtig, dass diese Namen nicht als vollständige Übersicht zu verstehen sind, sondern als Ausschnitt der aktuell besonders sichtbaren Akteure. Genau daraus ergibt sich aber ein belastbarer Eindruck: Die Bedrohung bleibt breit verteilt, und Organisationen können sich nicht darauf verlassen, dass der Rückgang einzelner Marken automatisch eine Entspannung bedeutet. Vielmehr zeigen Bezeichnungen wie akira, qilin oder safepay, dass neue oder umbenannte Akteure die öffentliche Wahrnehmung schnell prägen können, während lockbit5 exemplarisch dafür steht, wie stark bekannte Marken auch nach Einschnitten im Ökosystem nachwirken.

Deadlock und thegentlemen unterstreichen zugleich, dass die Szene operativ beweglich bleibt. Aus Verteidigersicht ist das vor allem deshalb relevant, weil sich aus Gruppennamen allein nur begrenzt auf Taktiken schließen lässt. Entscheidend ist vielmehr, dass mehrere Akteure parallel sichtbar sind und damit unterschiedliche Initialzugänge, Erpressungsmodelle und Veröffentlichungspraktiken wahrscheinlich bleiben. Die Woche bestätigt damit eher Kontinuität als Bruch: keine grundlegend neue Ransomware-Logik, aber anhaltend hoher Druck durch viele gleichzeitig aktive Gruppen.

Dass auch Einrichtungen im deutschsprachigen Raum betroffen waren, verleiht dieser Beobachtung zusätzlich Gewicht. Der regionale Bezug macht deutlich, dass die Aktivitäten der genannten Gruppen nicht auf entfernte Märkte beschränkt bleiben. Für hiesige Betreiber heißt das vor allem, dass öffentliche Leakseiten und Bekennerkanäle weiterhin als Frühwarnsignal ernst genommen werden müssen, auch wenn konkrete Opfernamen aus guten Gründen nicht im Vordergrund stehen sollten. Wichtiger ist die Erkenntnis, welche Branchen und Regionen wiederholt in den Fokus geraten und wie regelmäßig neue Einträge auftauchen.

Auffällig bleibt zudem die Gleichzeitigkeit von Schwachstellen- und Ransomware-Themen. Auch wenn die Wochendaten keine direkte technische Zuordnung einzelner Gruppen zu einzelnen CVEs vorgeben, liegt die strategische Verbindung auf der Hand: Aktiv ausgenutzte Lücken in Web- und Serverkomponenten verkürzen den Weg zu Erstzugriffen, und genau solche Erstzugriffe sind für viele Erpressungskampagnen der kritische Ausgangspunkt. Die Woche zeigt daher weniger zwei getrennte Themenstränge als vielmehr zwei Seiten derselben operativen Realität.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung wurde inhaltlich klar von den CISA-Meldungen geprägt. Sowohl der Hinweis auf aktiv ausgenutzte Lücken in ColdFusion, Langflow und Joomla-Erweiterungen als auch die Aufnahme entsprechender Fälle in den KEV-Katalog setzten den Ton für die Woche. Diese Artikel waren nicht nur Nachrichten im engeren Sinne, sondern eine Verdichtung der zentralen Risikolage: Mehrere Schwachstellen in unterschiedlichen Produkten wurden praktisch relevant, und die behördliche Einordnung machte aus Einzelmeldungen ein zusammenhängendes Warnsignal.

Daneben fiel der Wochenrückblick mit dem Schlag gegen NetNut auf. Dieses Thema hebt sich von den üblichen Schwachstellen- und Ransomware-Meldungen insofern ab, als es die Dienstleistungs- und Infrastrukturseite des Cybercrime-Ökosystems berührt. Ein Schlag gegen einen solchen Akteur ist für die Lagebeobachtung deshalb interessant, weil er nicht nur unmittelbare technische Auswirkungen haben kann, sondern auch Aufschluss darüber gibt, welche Unterstützungsstrukturen für Angriffe im Hintergrund eine Rolle spielen. Selbst wenn die direkten Folgen oft erst später sichtbar werden, markiert ein solcher Vorgang regelmäßig einen wichtigen Bezugspunkt für die Einordnung der Gesamtwoche.

Die Meldung zur kritischen XSS-Lücke im Zimbras Classic Web Client ergänzte das Bild um eine besonders alltagsnahe Angriffsperspektive. Präparierte E-Mails als möglicher Auslöser für Codeausführung verbinden zwei Ebenen, die in der Praxis häufig getrennt betrachtet werden: die Schwachstelle in der Weboberfläche und den sozial beziehungsweise inhaltsgetriebenen Zustellweg. Genau deshalb hatte dieses Thema besondere Resonanz. Es erinnert daran, dass nicht jede technisch relevante Schwachstelle über klassische Scans oder Internet-Exposure wahrgenommen wird; manche Risiken entfalten ihre Wirkung erst dann voll, wenn sie in normale Kommunikationsabläufe eingebettet werden.

Insgesamt erzählen die Top-Artikel dieser Woche eine konsistente Geschichte. Erstens stand die aktive Ausnutzung mehrerer Schwachstellen in exponierten Plattformen und Erweiterungen im Vordergrund. Zweitens blieb mit dem Schlag gegen NetNut die Infrastruktur hinter Angriffen ein wichtiges Beobachtungsfeld. Drittens zeigte das Beispiel Zimbras Classic Web Client, wie eng sich Anwendungsfehler und alltägliche Kommunikationskanäle verbinden können. Zusammen ergibt sich daraus eine Woche, in der operative Ausnutzung, kriminelle Infrastruktur und anwendungsnahe Angriffsszenarien nahtlos ineinandergriffen.