Am 7. Mai 2026 wurden zwei neue Schwachstellen im Linux-Kernel öffentlich gemacht, die unter den Namen „Dirty Frag“ und „Copy Fail 2: Electric Boogaloo“ bekannt sind. Beide Schwachstellen ermöglichen lokalen, nicht privilegierten Benutzer:innen eine Eskalation auf root. Sie liegen in den In-Place-Entschlüsselungspfaden der Kernel-Module esp4, esp6 (IPsec/ESP) sowie rxrpc und nutzen Page-Cache-Writeprimitives aus, indem über splice(2), sendfile(2) bzw. MSG_SPLICE_PAGES angehängte, nicht kernelseitig privat gehaltene Seiten direkt überschrieben werden.

Eine neue Schwachstelle im Linux-Kernel ermöglicht es lokalen Nutzern, durch einen simplen Logikfehler vollständige Systemrechte zu erlangen. Der Fehler ist seit Jahren in weit verbreiteten Kernel-Versionen vorhanden und lässt sich ohne spezielle Voraussetzungen zuverlässig ausnutzen. Betroffen sind praktisch alle gängigen Linux-Distributionen im Zeitraum seit 2017. Ein Patch ist erforderlich, um die Lücke zu schließen.

Cisco hat Informationen zu einer vermutlich bereits seit einigen Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser Kampagne haben bisher unbekannte Angreifer:innen Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X Reihe welche "VPN web services" kompromittiert um in weiterer Folge auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu stehlen.

Cisco hat Informationen zu einer vermutlich bereits seit einigen Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser Kampagne haben bisher unbekannte Angreifer:innen Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X Reihe welche "VPN web services" kompromittiert um in weiterer Folge auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu stehlen.

Die weit verbreitete JavaScript-Bibliothek axios (HTTP-Client mit über 300 Millionen wöchentlichen Downloads auf npm) wurde durch kompromittierte Paketversionen als Angriffsvektor missbraucht. Über den gekaperten npm-Account eines Hauptentwicklers wurden zwei schadhafte Versionen veröffentlicht: axios@1.14.1 und axios@0.30.4. Beide Versionen enthalten eine zusätzliche Abhängigkeit (plain-crypto-js@4.2.1), die beim Installieren automatisch einen Remote Access Trojaner (RAT) für macOS, Windows und Linux nachlädt.

Cisco hat am 4. März 2026 mehrere Advisories veröffentlicht, die insgesamt 17 Schwachstellen in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software, Cisco Secure Firewall Threat Defense (FTD) Software und Cisco Secure Firewall Management Center (FMC) Software adressieren. Darunter befinden sich zwei Schwachstellen mit dem höchstmöglichen CVSS-Score von 10.0, die das Firewall Management Center betreffen.

In Cisco Catalyst SD-WAN existieren mehrere kritische Sicherheitslücken. Die schwerwiegendste Schwachstelle (CVE-2026-20127) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen und administrative Berechtigungen auf einem betroffenen System zu erlangen. Weitere Schwachstellen betreffen den Cisco Catalyst SD-WAN Manager und ermöglichen unter anderem Authentication Bypass, Privilege Escalation, Information Disclosure und das Überschreiben beliebiger Dateien. Die Schwachstelle CVE-2026-20127 wird aktiv ausgenutzt. Laut mehrerer internationaler Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ) wurden Cisco Catalyst SD-WANs mindestens seit 2023 kompromittiert.

Im aktuellen Security Advisory von Ivanti werden Schwachstellen im Endpoint Manager Mobile beschrieben, bei denen die unzureichende Absicherung der Codeverarbeitung ausgenutzt werden kann, um Schadcode aus der Ferne auszuführen.

In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung durch manipulierte SAML-Nachrichten zu umgehen und administrativen Zugriff zu erlangen. Die Lücken werden bereits aktiv ausgenutzt.

Sicherheitslücken in React, next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc und rwsdk werden bereits fürs Angriffe gegen vulnerable Installationen genutzt.