Schwachstellen-Explosion: 20.701 Lücken im Q2 2026, +62,5% kritisch

Mehrere Softwareanbieter schließen schwerwiegende Sicherheitslücken. Angreifer nutzen einige Schwachstellen bereits aktiv aus.

Mehrere Sicherheitsbehörden und Technologieanbieter haben dringende Warnungen zu schwerwiegenden Schwachstellen in verbreiteter Unternehmenssoftware herausgegeben. Die betroffenen Systeme reichen von Fernzugriffstools über Virtualisierungsplattformen bis zu Webservern – und einige Lücken werden bereits aktiv ausgenutzt.

BeyondTrust schließt kritische Authentifizierungslücken

Der Sicherheitsanbieter BeyondTrust hat Updates für seine Lösungen Remote Support (RS) und Privileged Remote Access (PRA) veröffentlicht. Die schwerwiegendste Schwachstelle, CVE-2026-40138 mit einem CVSS-Wert von 9,2, ermöglicht einen Authentifizierungsumgehungsangriff vor dem Login. Die Ausnutzung erfordert allerdings eine spezifische Authentifizierungskonfiguration und gilt als technisch anspruchsvoll.

Eine zweite kritische Lücke (CVE-2026-40139) betrifft ausschließlich Remote-Support-Instanzen. Darüber hinaus wurden hochriskante Probleme behoben, darunter eine Denial-of-Service-Anfälligkeit (CVE-2026-40140) und ein unautorisierter Zugriff auf geschützte Ressourcen (CVE-2026-40141).

Während Cloud-Kunden bereits seit dem 21. April 2026 über Patches verfügen, müssen Unternehmen mit selbst gehosteten Installationen auf Version 25.3.3 oder höher aktualisieren. Überwachungsgruppen schätzen, dass noch rund 2.000 Instanzen der Software ungeschützt im Internet erreichbar sind.

Adobe und Citrix: Angreifer schlagen sofort zu

Sicherheitsforscher beobachten eine rasche Ausnutzung einer kritischen Path-Traversal-Lücke in Adobe ColdFusion. Die Schwachstelle CVE-2026-48282 erhielt die maximale CVSS-Bewertung von 10,0. Sie erlaubt nicht authentifizierten Angreifern die Ausführung beliebigen Codes – allerdings nur auf Servern, bei denen Remote Development Services (RDS) aktiviert und die Authentifizierung deaktiviert ist.

Honeypots registrierten erste Exploit-Versuche am 2. Juli 2026, kurz nachdem technische Details veröffentlicht wurden. Branchendaten zufolge sind noch rund 750 ColdFusion-Server ungeschützt.

Auch Citrix NetScaler ADC und Gateway werden gezielt angegriffen. Die Schwachstelle CVE-2026-8451 (CVSS 8,8) betrifft Geräte, die als SAML-Identitätsanbieter konfiguriert sind. Sicherheitsanalysten meldeten koordinierte Scan- und Exploit-Aktivitäten ab dem 1. Juli 2026. Administratoren sollten auf die Versionen 14.1-72.61 oder 13.1-63.18 aktualisieren – oder die SAML-Funktion deaktivieren, falls ein Patch nicht sofort möglich ist.

Anzeige

Wer die rasant steigende Zahl kritischer Schwachstellen in den Griff bekommen will, findet in diesem kostenlosen Report die wichtigsten Priorisierungs- und Patch-Strategien – von BeyondTrust bis ColdFusion. Jetzt kostenlosen Sicherheits-Report anfordern

Virtualisierung im Visier: 16 Jahre alte Lücke entdeckt

Eine bemerkenswerte Entdeckung gelang bei einer Sicherheitskonferenz: Der als Januscape (CVE-2026-53359) bekannte Fehler im Linux-KVM-Hypervisor war sage und schreibe 16 Jahre lang unentdeckt. Die Use-After-Free-Schwachstelle ermöglicht Angreifern den Ausbruch aus virtuellen Maschinen auf Intel- und AMD-Systemen mit verschachtelter Virtualisierung.

Ein Fix wurde ab dem 4. Juli 2026 in den Linux-Kernel integriert. Unternehmen, die ihre Kernel nicht sofort aktualisieren können, sollten verschachtelte Virtualisierung als Übergangslösung deaktivieren.

CISA warnt vor staatlichen Angreifern

Die US-Cybersicherheitsbehörde CISA hat ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aktualisiert. Am 1. Juli 2026 wurde eine Microsoft-SharePoint-Server-Lücke (CVE-2026-45659) aufgenommen, die Remotecodeausführung ermöglicht. Ermittlungen ergaben, dass ein mit China in Verbindung gebrachter Bedrohungsakteur namens Storm-2603 den Exploit für laterale Bewegungen in kompromittierten Netzwerken nutzte.

Bereits am 25. Juni 2026 landete eine kritische Schwachstelle in PTC Windchill (CVE-2026-12569) auf der KEV-Liste. Angreifer hatten Webshells installiert, um dauerhaften Zugriff auf betroffene Systeme zu erhalten.

Alarmierender Trend: Immer mehr kritische Lücken

Anzeige

Staatliche Angreifer nutzen Lücken wie CVE-2026-45659 in SharePoint bereits aktiv für laterale Bewegungen. Bevor Storm-2603 auch Ihr Netzwerk kompromittiert, sichern Sie sich den Leitfaden mit Notfallplan und CISA-KEV-Checkliste. CISA-KEV-Notfallplan jetzt sichern

Marktforscher melden für das zweite Quartal 2026 insgesamt 20.701 neu entdeckte Schwachstellen – ein Anstieg von 62,5 Prozent bei den als kritisch eingestuften Fällen (2.317). Besorgniserregend: Die Zeitspanne zwischen Veröffentlichung einer Lücke und ihrer aktiven Ausnutzung schrumpft weiter.

Als häufige Schwachstellen identifizierten Analysten unzureichende Eingabevalidierung und fehlende Authentifizierungsmechanismen in Firewalls, VPNs und Verwaltungspanels. Für Unternehmen bedeutet das: Patchen wird zum Wettlauf gegen die Zeit.