Kategorie: Sicherheit & Datenschutz
Sicherheitslücken, Ransomware und DSGVO-Pflichten treffen den Mittelstand härter als oft gedacht – meist fehlt nur die Zeit, am Ball zu bleiben. Hier findest du aktuelle Security-News, eingeordnete CVEs und konkrete Datenschutz-Praxis: verständlich, ohne Panikmache und mit klaren Handlungsempfehlungen für den IT-Alltag. · 84 Beiträge
Joomla JCE: CISA warnt vor aktiv ausgenutzter RCE-Lücke
CISA führt CVE-2026-48907 im KEV-Katalog. Betroffen ist die JCE-Erweiterung für Joomla bis Version 2.9.99.4, Updates und Prüfungen sind dringend sinnvoll.
BSI-Lagebild: Cyberresilienz bleibt für KMU eine organisatorische Daueraufgabe
Das BSI betont seit Jahren die hohe Bedeutung von Cyberresilienz. Für KMU heißt das: Backups, Patchmanagement, Notfallpläne und Basisschutz müssen praktisch funktionieren.
CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt
Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.
NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung
Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.
WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert
Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.
Pwn2Own Ireland 2025: Kritische Lücke in Synology BeeStation ermöglicht vollständige Übernahme
Synology-Patch-News vom 27.05.2026: Drei Advisoires aus Pwn2Own Ireland 2025 mit Updates fuer BeeStation, DSM und C2 Identity Edge Server.
GitHub npm v12: Install-Skripte und Git-Abhaengigkeiten werden im Juli 2026 standardmaessig blockiert
Im GitHub Changelog vom 9. Juni 2026 kuendigt GitHub fuer npm v12 drei neue Sicherheits-Defaults an: Install-Skripte, Git-Abhaengigkeiten und Remote-URL-Pakete werden per Default blockiert. Admins sollten ihre CI-Pipelines jetzt vorbereiten.
CVE-2026-35273: Kritische RCE-Luecke in Oracle PeopleSoft PeopleTools im CISA-KEV-Katalog
CISA hat die fehlende Authentifizierung in Oracle PeopleSoft Enterprise PeopleTools 8.61 und 8.62 am 12. Juni 2026 in den KEV-Katalog aufgenommen. CVSS 3.1 liegt bei 9.8, ausgenutzt wird sie bereits in der Praxis.
SimpleHelp CVE-2026-48558: Kritischer OIDC-Authentifizierungs-Bypass mit CVSS 10.0
Eine kritische Lücke in SimpleHelp erlaubt es Angreifern, sich ohne Passwort als Techniker anzumelden. CVSS 10.0, kein CISA-KEV-Eintrag, Patches existieren. Was Admins jetzt prüfen müssen.
Arch AUR: Infostealer in Hunderten Community-Paketen entdeckt
Eine Supply-Chain-Kampagne namens Atomic Arch traf verwaiste Pakete im Arch User Repository. Betroffene Systeme sollten als kompromittiert geprüft werden.