Wochenlage: Sechs aktiv ausgenutzte KEV-Lücken bei Edge- und Enterprise-Systemen

Executive Summary

Das dominierende Muster der Lage: unauthentifizierte, aktiv ausgenutzte Schwachstellen an Edge-Systemen und in weit verbreiteten Enterprise-Anwendungen. Sechs Einträge stehen frisch im CISA-KEV-Katalog, mehrere mit EPSS über 80 %.

Top-Signale

1. Palo Alto PAN-OS GlobalProtect (CVE-2026-0257)

Auth-Bypass am VPN-Gateway, aktiv ausgenutzt. CVSS 9.1, EPSS ~87 %. Edge-Notfall.

2. Oracle PeopleSoft (CVE-2026-35273)

Unauthentifizierte RCE, von ShinyHunters zum Datendiebstahl genutzt - Universitäten am stärksten betroffen. CVSS 9.8, EPSS ~90 %.

3. Drupal Core SQL-Injection (CVE-2026-9082)

Massenangriffe kurz nach Disclosure, CISA-Patch-Anordnung für US-Behörden. EPSS ~85 %.

4. Microsoft Exchange OWA (CVE-2026-42897)

XSS-Zero-Day zur Postfach-Übernahme. CVSS 8.1, als Zero-Day ausgenutzt.

5. Cisco Catalyst SD-WAN Manager (CVE-2026-20262)

Arbitrary File Write / Privesc bis root, in Zero-Day-Angriffen ausgenutzt.

6. LiteSpeed cPanel-Plugin (CVE-2026-54420)

Symlink-Missbrauch auf Shared Hosting (CloudLinux/CageFS), in freier Wildbahn ausgenutzt.

Was Security-Teams jetzt tun sollten

Edge-First priorisieren: internet-erreichbare Gateways und Enterprise-Webapps zuerst patchen, KEV-Fristen als Maßstab nehmen und exponierte Systeme auf Kompromittierung prüfen.