News & Beiträge
Aktuelles aus IT, Security und Tech — kuratiert von Schönfelder EDV.
Fortinet Firewalls: Berichte über massive Kompromittierung von FortiGate Zugängen
Berichte über zehntausende kompromittierte Fortinet FortiGate Firewalls zeigen, wie kritisch exponierte VPN und Management Zugänge sind. Admins sollten Firmware, MFA, Logs und Zugangsdaten prüfen.
Gravity SMTP: Unauthentifizierte Lücke leakt API-Schlüssel und Systemdaten WordPress-Sites
Das WordPress-Plugin Gravity SMTP mit 100.000 Installationen hat eine unauthentifizierte REST-API-Lücke, die vollständige Systemberichte inklusive API-Schlüssel und OAuth-Tokens preisgibt. Wordfence zählte 17 Millionen Ausnutzungsversuche.
Joomla JCE: CISA warnt vor aktiv ausgenutzter RCE-Lücke
CISA führt CVE-2026-48907 im KEV-Katalog. Betroffen ist die JCE-Erweiterung für Joomla bis Version 2.9.99.4, Updates und Prüfungen sind dringend sinnvoll.
Microsoft Security Updates: Warum der monatliche Patch-Prozess saubere Priorisierung braucht
Microsoft veröffentlicht Sicherheitsupdates regelmäßig gebündelt. Für Admins zählt danach nicht nur Installation, sondern klare Priorisierung nach Rolle, Exposition und Ausnutzbarkeit.
WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse
WordPress bleibt durch seine Plugin-Landschaft ein häufiges Angriffsziel. Betreiber sollten Updates, Rechte, Backups und Plugin-Auswahl konsequent prüfen.
BSI-Lagebild: Cyberresilienz bleibt für KMU eine organisatorische Daueraufgabe
Das BSI betont seit Jahren die hohe Bedeutung von Cyberresilienz. Für KMU heißt das: Backups, Patchmanagement, Notfallpläne und Basisschutz müssen praktisch funktionieren.
CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt
Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.
NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung
Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.
LiteSpeed-cPanel-Plugin: CVE-2026-54420 landet im CISA-KEV-Katalog
CVE-2026-54420 betrifft das LiteSpeed-cPanel-Plugin auf Shared-Hosting-Systemen mit CloudLinux/CageFS. Administratoren sollten Plugin-Versionen und Logspuren prüfen.
WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert
Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.