März 2026: Kritische CVEs – Cisco bis Trivy Supply-Chain-Angriffe
Im März 2026 kam es zu einem Anstieg von Vulnerability-Exploits, bei denen Angreifer nur Stunden nach der Offenlegung zuschlugen. Betroffen waren KI-Plattformen und Supply Chains. Hier ein Überblick über die wichtigsten CVEs mit CVSS 8,7+ und bestätigter Real-World-Aktivität.
Cisco Secure Firewall Management Center Deserialisierungsfehler
CVE-2026-20131 (CVSS 10,0 KRITISCH)
Ein Fehler in der Weboberfläche von Cisco FMC ermöglicht es Angreifern, bösartige Java-Objekte ohne Authentifizierung zu deserialisieren. Betroffen sind alle Versionen, einschließlich Cisco Security Cloud Control. Die Interlock-Gruppe nutzte diese Zero-Day-Angriff ab dem 26. Januar 2026; CISA hat sie in die KEV-Liste aufgenommen mit Frist zum 22. März.
Ausnutzung: Ein POST-Request mit serialisiertem Objekt löst RCE auf Root-Ebene aus.
Auswirkungen:
- Manipulation der Firewall-Konfiguration.
- Abfangen von Traffic und Datendiebstahl.
- Einstiegspunkt für Ransomware.
Schutzmaßnahmen:
- Sofortiges Patchen von FMC.
- Isolieren der Management-Oberfläche hinter Zero Trust.
- Überprüfen der Logs auf Deserialisierungs-Payloads (AWS IoCs nutzen).
Unauthentifizierte RCE in Langflow
CVE-2026-33017 (CVSS 9,3 KRITISCH)
Diese visuelle KI-Agent-Plattform (über 145.000 GitHub-Stars) hat eine Schwachstelle im Endpoint /api/v1/build_public_tmp/{flow_id}/flow. Python-Code aus JSON-Payloads wird via exec() ohne Sandbox ausgeführt. Betroffen sind Versionen ≤1.8.2. Sysdig entdeckte Exploits nur 20 Stunden nach dem Bulletin vom 17. März.
Ausnutzung: Einzelner POST mit bösartigem Code in Node-Definitionen.
Auswirkungen:
- RCE mit Prozess-Privilegien.
- Diebstahl von Secrets (OpenAI-API-Keys, DB-Passwörter, SSH).
- Angriffe auf integrierte ML-Pipelines.
Schutzmaßnahmen:
- Upgrade auf 1.9.0+ (1.8.2 bleibt laut JFrog anfällig).
- Rotation aller Umgebungs-Secrets.
- FW/Proxy-Auth für Langflow hinzufügen.
- POSTs zu
/api/v1/und ausgehenden Traffic überwachen.
Chrome Zero-Days: Skia- und V8-Schwachstellen
CVE-2026-3909 (CVSS 8,7 HOCH) — Out-of-Bounds-Write in Skia (2D-Rendering).
CVE-2026-3910 (CVSS 8,7 HOCH) — Type Confusion in V8 (JS/WebAssembly).
Google bestätigte aktive Ausnutzung am 10. März; CISA-KEV-Frist ist der 27. März. Dritter Chrome-Zero-Day im Jahr 2026.
Ausnutzung: Bösartige HTML/JS-Seite (Watering-Hole oder Malvertising).
Auswirkungen:
- Code-Ausführung im Renderer-Prozess: Cookie- und Session-Diebstahl.
- Risiko für headless Chrome in CI/CD.
- Eskalation erfordert Sandbox-Escape.
Schutzmaßnahmen:
- Update auf Chrome 146.0.7680.75+.
- Patchen von Chromium-basierten Browsern (Edge, Brave).
- Inventarisieren von headless-Instanzen.
- Auto-Updates aktivieren.
Aqua Trivy Supply-Chain-Kompromittierung
CVE-2026-33634 (CVSS 9,4 KRITISCH)
Am 19. März kompromittierte TeamPCP ein Dev-Konto und force-pushte bösartige Tags in die trivy-action GitHub Action. Sie stiehlt CI/CD-Secrets (Tokens, SSH, Cloud-Creds). Betroffen sind Docker-Images und PyPI LiteLLM.
Ausnutzung: Action exfiltriert Env-Secrets bei Ausführung.
Auswirkungen:
- Zugriff auf AWS/GCP/Azure-Credentials.
- Bösartige Trivy-Images auf Docker Hub.
- Auswirkungen auf LLM-Bibliotheken.
Schutzmaßnahmen:
- CI/CD-Runs nach dem 19. März prüfen.
- Alle Secrets rotieren.
- Trivy-Images verifizieren.
- GitHub Actions per SHA pinnen.
Microsoft Patch Tuesday: AI-XSS und Office RCE
79 CVEs gepatcht, 8 kritisch. Highlights:
CVE-2026-26144 (CVSS 8,7 HOCH) — XSS in Excel Copilot Agent für heimlichen Datendiebstahl.
Ausnutzung: Bösartiges XLSX löst Copilot-Datensendung aus.
CVE-2026-26110/26113 (CVSS 8,6 HOCH) — Office RCE durch ungültigen Pointer/Type Confusion.
Nginx UI und mehr
Nginx UI: Unauthentifizierte Backup-Dumps (RCE-Risiko).
Grafana: SQLi mit RCE via SQL-Expressions.
GNU InetUtils telnetd: Buffer Overflow.
Android: Qualcomm Zero-Day.
Wichtige Erkenntnisse
- Rekord-schnelle Ausnutzung: 20 Stunden bei Langflow, kein öffentliches PoC.
- Supply Chains im Visier: Trivy, LiteLLM.
- KI-zielgerichtete Angriffe: Langflow exec(), Excel Copilot XSS.
- CISA KEV-Prioritäten: Cisco, Chrome – jetzt patchen.
- Headless Chrome in CI/CD: unterschätztes Risiko.
— Editorial Team
Noch keine Kommentare.