Zurück zur Startseite

Top CVE März 2026: RCE in Cisco und Langflow

Übersicht über kritische CVE März 2026: Deserialisierung in Cisco FMC (CVSS 10), RCE in Langflow und Chrome Zero-Day, Trivy-Kompromittierung. Aktive Ausnutzung, KEV CISA, Mitigationsschritte für Middle/Senior.

🚨 Kritische CVE März 2026: von Cisco RCE bis Trivy-Angriffe
Advertisement 728x90

März 2026: Kritische CVEs – Cisco bis Trivy Supply-Chain-Angriffe

Im März 2026 kam es zu einem Anstieg von Vulnerability-Exploits, bei denen Angreifer nur Stunden nach der Offenlegung zuschlugen. Betroffen waren KI-Plattformen und Supply Chains. Hier ein Überblick über die wichtigsten CVEs mit CVSS 8,7+ und bestätigter Real-World-Aktivität.

Cisco Secure Firewall Management Center Deserialisierungsfehler

CVE-2026-20131 (CVSS 10,0 KRITISCH)

Ein Fehler in der Weboberfläche von Cisco FMC ermöglicht es Angreifern, bösartige Java-Objekte ohne Authentifizierung zu deserialisieren. Betroffen sind alle Versionen, einschließlich Cisco Security Cloud Control. Die Interlock-Gruppe nutzte diese Zero-Day-Angriff ab dem 26. Januar 2026; CISA hat sie in die KEV-Liste aufgenommen mit Frist zum 22. März.

Google AdInline article slot

Ausnutzung: Ein POST-Request mit serialisiertem Objekt löst RCE auf Root-Ebene aus.

Auswirkungen:

  • Manipulation der Firewall-Konfiguration.
  • Abfangen von Traffic und Datendiebstahl.
  • Einstiegspunkt für Ransomware.

Schutzmaßnahmen:

Google AdInline article slot
  • Sofortiges Patchen von FMC.
  • Isolieren der Management-Oberfläche hinter Zero Trust.
  • Überprüfen der Logs auf Deserialisierungs-Payloads (AWS IoCs nutzen).

Unauthentifizierte RCE in Langflow

CVE-2026-33017 (CVSS 9,3 KRITISCH)

Diese visuelle KI-Agent-Plattform (über 145.000 GitHub-Stars) hat eine Schwachstelle im Endpoint /api/v1/build_public_tmp/{flow_id}/flow. Python-Code aus JSON-Payloads wird via exec() ohne Sandbox ausgeführt. Betroffen sind Versionen ≤1.8.2. Sysdig entdeckte Exploits nur 20 Stunden nach dem Bulletin vom 17. März.

Ausnutzung: Einzelner POST mit bösartigem Code in Node-Definitionen.

Google AdInline article slot

Auswirkungen:

  • RCE mit Prozess-Privilegien.
  • Diebstahl von Secrets (OpenAI-API-Keys, DB-Passwörter, SSH).
  • Angriffe auf integrierte ML-Pipelines.

Schutzmaßnahmen:

  • Upgrade auf 1.9.0+ (1.8.2 bleibt laut JFrog anfällig).
  • Rotation aller Umgebungs-Secrets.
  • FW/Proxy-Auth für Langflow hinzufügen.
  • POSTs zu /api/v1/ und ausgehenden Traffic überwachen.

Chrome Zero-Days: Skia- und V8-Schwachstellen

CVE-2026-3909 (CVSS 8,7 HOCH) — Out-of-Bounds-Write in Skia (2D-Rendering).

CVE-2026-3910 (CVSS 8,7 HOCH) — Type Confusion in V8 (JS/WebAssembly).

Google bestätigte aktive Ausnutzung am 10. März; CISA-KEV-Frist ist der 27. März. Dritter Chrome-Zero-Day im Jahr 2026.

Ausnutzung: Bösartige HTML/JS-Seite (Watering-Hole oder Malvertising).

Auswirkungen:

  • Code-Ausführung im Renderer-Prozess: Cookie- und Session-Diebstahl.
  • Risiko für headless Chrome in CI/CD.
  • Eskalation erfordert Sandbox-Escape.

Schutzmaßnahmen:

  • Update auf Chrome 146.0.7680.75+.
  • Patchen von Chromium-basierten Browsern (Edge, Brave).
  • Inventarisieren von headless-Instanzen.
  • Auto-Updates aktivieren.

Aqua Trivy Supply-Chain-Kompromittierung

CVE-2026-33634 (CVSS 9,4 KRITISCH)

Am 19. März kompromittierte TeamPCP ein Dev-Konto und force-pushte bösartige Tags in die trivy-action GitHub Action. Sie stiehlt CI/CD-Secrets (Tokens, SSH, Cloud-Creds). Betroffen sind Docker-Images und PyPI LiteLLM.

Ausnutzung: Action exfiltriert Env-Secrets bei Ausführung.

Auswirkungen:

  • Zugriff auf AWS/GCP/Azure-Credentials.
  • Bösartige Trivy-Images auf Docker Hub.
  • Auswirkungen auf LLM-Bibliotheken.

Schutzmaßnahmen:

  • CI/CD-Runs nach dem 19. März prüfen.
  • Alle Secrets rotieren.
  • Trivy-Images verifizieren.
  • GitHub Actions per SHA pinnen.

Microsoft Patch Tuesday: AI-XSS und Office RCE

79 CVEs gepatcht, 8 kritisch. Highlights:

CVE-2026-26144 (CVSS 8,7 HOCH) — XSS in Excel Copilot Agent für heimlichen Datendiebstahl.

Ausnutzung: Bösartiges XLSX löst Copilot-Datensendung aus.

CVE-2026-26110/26113 (CVSS 8,6 HOCH) — Office RCE durch ungültigen Pointer/Type Confusion.

Nginx UI und mehr

Nginx UI: Unauthentifizierte Backup-Dumps (RCE-Risiko).

Grafana: SQLi mit RCE via SQL-Expressions.

GNU InetUtils telnetd: Buffer Overflow.

Android: Qualcomm Zero-Day.

Wichtige Erkenntnisse

  • Rekord-schnelle Ausnutzung: 20 Stunden bei Langflow, kein öffentliches PoC.
  • Supply Chains im Visier: Trivy, LiteLLM.
  • KI-zielgerichtete Angriffe: Langflow exec(), Excel Copilot XSS.
  • CISA KEV-Prioritäten: Cisco, Chrome – jetzt patchen.
  • Headless Chrome in CI/CD: unterschätztes Risiko.

— Editorial Team

Advertisement 728x90

Weiterlesen