ACP Gruppe | Threat Ticker

TI - CVE-2026-20127 & Multiple CVEs – Critical Security Vulnerabilities in Cisco Catalyst SD-WAN

SOC Austria — Fri, 27 Feb 2026 09:01:22 GMT

Beschreibung:

Am 25. Februar 2026 hat Cisco mehrere kritische Sicherheitslücken in Cisco Catalyst SD-WAN (ehemals Cisco SD-WAN) veröffentlicht. Die schwerwiegendste Schwachstelle (CVE-2026-20127, CVSS 10.0) betrifft den Cisco Catalyst SD-WAN Controller (ehemals vSmart) und ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Peering-Authentifizierung zu umgehen und sich als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane einzuschleusen.

Eine weitere kritische Lücke (CVE-2026-20129, CVSS 9.8) ermöglicht über die API des SD-WAN Managers ohne Authentifizierung den Zugriff mit administrativen Rechten. Cisco Talos hat die aktiv angreifende Bedrohungsgruppe als UAT-8616 identifiziert und bewertet diese mit hoher Konfidenz als hochsophistizierten, staatlich geförderten Akteur. Forensische Untersuchungen ergaben, dass die Schwachstellen bereits seit mindestens 2023 als Zero-Day aktiv ausgenutzt wurden.

TI - CVE-2025-55182 - Critical Security Vulnerability in React Server Components

SOC Austria — Wed, 10 Dec 2025 12:36:49 GMT

Beschreibung:

Am 3. Dezember 2025 wurde eine kritische Schwachstellen in React (CVE-2025-55182) veröffentlicht. Diese betrifft die Server-Komponente ("RSC") des Javascript-Frameworks und ermöglicht bei Ausnutzung eine unauthentifizierte Remote-Code-Execution auf den betroffenen Systemen.

Die Ausnutzung der Schwachstelle erfolgt hierbei durch einen speziell präparierten HTTP-Request und ist in der Default-Konfiguration der Software möglich.

TI - Critical Vulnerability in Fortinet FortiWeb

SOC Austria — Fri, 14 Nov 2025 13:40:21 GMT

Beschreibung:

Seit kurzem ist eine neue kritische Sicherheitslücke in der Web Application Firewall FortiWeb des Herstellers Fortigate bekannt. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer ohne bestehende Zugriffsrechte Administratorrechte für das FortiWeb Manager-Panel und die Websocket-Befehlszeilenschnittstelle erlangen.

Die neueste FortiWeb-Version 8.0.2 ist laut aktueller Recherche von der Schwachstelle nicht betroffen. Der Exploit funktioniert jedoch bei früheren Versionen, einschließlich Version 8.0.1, die im August 2025 veröffentlicht wurde.

Basierend auf den von Defused verbreiteten Informationen soll diese neue Schwachstelle im Oktober 2025 in freier Wildbahn ausgenutzt worden sein. Unternehmen, die Versionen von Fortinet FortiWeb vor 8.0.2 einsetzen, wird empfohlen, diese Schwachstelle dringend zu beheben, da sie seit Oktober in gezielten Angriffen ausgenutzt wird und in den kommenden Tagen mit einer breiten Ausnutzung zu rechnen ist. Da bis zum 14. November um 14:00 Uhr ET noch keine offiziellen Hinweise des Anbieters vorliegen, sollten Unternehmen auch nach der Aktualisierung auf die neueste Version 8.0.2 weiterhin den offiziellen Fortinet PSIRT-Feed auf offizielle Abhilfemaßnahmen überwachen (https://www.fortiguard.com/psirt).

Ohne Hinweise des Anbieters ist unklar, ob die Version 8.0.2 absichtlich einen stillen Patch für diese Sicherheitslücke enthält oder ob zufällig Änderungen vorgenommen wurden, die den bestehenden Exploit unwirksam gemacht haben.