BSI3d ago

⚠️📢 Sicherheitswarnung: Kritische Schwachstellen in #Citrix NetScaler.
Am 23. März 2026 veröffentlichte der Hersteller Citrix ein Advisory zu zwei schwerwiegenden Schwachstellen in Citrix NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway.

Aktuell sind zu beiden #Schwachstellen noch keine technischen Details oder aktiven Angriffe bekannt.

Mehr dazu: 👉️ https://www.bsi.bund.de/dok/1195484

@certbund

Version 1.0: Citrix NetScaler ADC und Gateway - Schwachstellen gefährden Organisationen

Am 23. März 2026 veröffentlichte der Hersteller Citrix ein Advisory zu zwei schwerwiegenden Schwachstellen in Citrix NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway). Die im Advisory enthaltene Sicherheitslücke mit der Kennung CVE-2026-3055 wurde nach dem Common Vulnerability Scoring System (CVSS 4.0) mit 9.3 von 10 als "kritisch" bewertet und erlaubt es einem nicht-authentifizierten Angreifer mithilfe einer Out-of-bounds Read-Schwachstelle (CWE-125), potentiell sensible Informationen aus dem Speicher der Appliance auszulesen.  Bei der zweiten Verwundbarkeit (CVE-2026-4368), welche hinsichtlich ihrer Kritikalität bei einem CVSS-Score von 7.7 als "hoch" eingestuft wurde, handelt es sich um eine Race-Condition, die zu einer Verwechselung der Benutzersitzungen führen kann. Eine Ausnutzung kann einem authentifizierten Nutzer somit den Zugriff auf die Session eines anderen Nutzers ermöglichen. Aktuell sind zu beiden genannten Schwachstellen noch keine technischen Details oder Angriffe bekannt.

Bundesamt für Sicherheit in der Informationstechnik
Prof. Dr. Dennis-Kenji KipkerMar 5

Bug Bounty Programm zur Infiltration der Regierung von #Mexiko: Wie leicht #AI #Jailbreaking nach wie vor funktioniert, hat erneut ein Cyberkrimineller in Mexiko bewiesen. Indem er dem Chatbot durch eine vorgeschobene Legende vorgaukelte, er würde bei einem Bug-Bounty-Programm der mexikanischen Regierung unterstützen, konnte er den Bot dazu bringen, #Schwachstellen in Behördennetzwerken aufzuspüren, Ausnutzungsskripte zu erstellen und #Datendiebstahl zu automatisieren:

https://www.bloomberg.com/news/articles/2026-02-25/hacker-used-anthropic-s-claude-to-steal-sensitive-mexican-data

Norbert_R 🦣🐘Feb 25

Ein bisschen Grün muss sein

cdU und sPD haben sich im Rahmen der #Heizungsreform auf eine so­ge­nann­te Grün­gas­quo­te geeinigt. Das Konzept hat jedoch mehrere #Schwachstellen

Von Bernward #Janzing

Bei ihrer geplanten Reform des Heizungsgesetzes hat sich Schwarz-Rot auf eine Quote für „klimafreundliche Brennstoffe wie Biomethan und synthetischem Treibstoff“ geeinigt

https://www.taz.de/!6157103

Reform des Heizungsgesetzes: Ein bisschen Grün muss sein

CDU und SPD haben sich im Rahmen der Heizungsreform auf eine sogenannte Grüngasquote geeinigt. Das Konzept hat jedoch mehrere Schwachstellen.

TAZ Verlags- und Vertriebs GmbH
Prof. Dr. Dennis-Kenji KipkerFeb 20

Zero-Days vom #KI-Fließband: Der Sicherheitsforscher Sean Heelan zeigt in einer aktuellen Untersuchung, dass moderne KI-Systeme nicht nur beim Finden von #Schwachstellen helfen, sondern auch beim tatsächlichen Bau funktionsfähiger Zero-Day-Exploits.

Die damit einhergehende Befürchtung dürfte klar sein: Lässt sich die #Exploit-Entwicklung #AI gestützt in Richtung einer zunehmenden Industrialisierung verschieben, die Cyberkriminellen die Arbeit erleichtert?

https://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-generation-with-llms/ #cybersecurity

On the Coming Industrialisation of Exploit Generation with LLMs

Recently I ran an experiment where I built agents on top of Opus 4.5 and GPT-5.2 and then challenged them to write exploits for a zeroday vulnerability in the QuickJS Javascript interpreter. I adde…

Sean Heelan's Blog
Prof. Dr. Dennis-Kenji KipkerFeb 17

80 percent is the new 100: Strategische #Risikopriorisierung von IT-#Schwachstellen ist zukünftig das Credo - wenn es nicht ohnehin jetzt schon so ist.

So deutet ein neues Forecast des internationalen Netzwerks #FIRST (Forum of Incident Response and Security Teams) darauf hin, dass 2026 erstmals über 50.000 neue #CVEs veröffentlicht werden.

Künftig kommt es im #Cybersecurity Management deshalb deutlich stärker darauf an, die wirklich relevanten Lücken zu priorisieren:

https://www.first.org/blog/20260211-vulnerability-forecast-2026

AllAboutSecurityFeb 17

Sicherheitslücken in Passwortmanagern: ETH-Forschende hebeln Zero-Knowledge-Versprechen aus

Für die Angriffe waren keine außergewöhnlichen technischen Ressourcen nötig. Dass die Lücken dieses Ausmaß haben, überraschte die Forschenden.

https://www.all-about-security.de/sicherheitsluecken-in-passwortmanagern-eth-forschende-hebeln-zero-knowledge-versprechen-aus/

#eth #Passwortmanager #Schwachstellen

Sicherheitslücken in Cloud-Passwortmanagern: ETH-Forschung enthüllt

Sicherheitslücken in Cloud-Passwortmanagern gefährden das Vertrauen in Zero-Knowledge-Versprechen. Informieren Sie sich über die aktuelle Studie.

All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit
AllAboutSecurityFeb 14

Kritische Sicherheitslücke in BeyondTrust-Produkten wird aktiv ausgenutzt

Schwachstelle ermöglicht Code-Ausführung ohne Authentifizierung

https://www.all-about-security.de/kritische-sicherheitsluecke-in-beyondtrust-produkten-wird-aktiv-ausgenutzt/

#schwachstellen #codeausführung #update

Kritische Sicherheitslücke in BeyondTrust-Produkten wird aktiv ausgenutzt

BeyondTrust schließt schwerwiegende Schwachstelle in Remote Support und Privileged Remote Access. CISA warnt vor aktiver Ausnutzung durch Angreifer.

All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit
AllAboutSecurityJan 30

Ivanti Endpoint Manager: Aktive Ausnutzung kritischer Zero-Day-Schwachstellen

Ivanti hat am 29. Januar 2026 zwei kritische Sicherheitslücken im Endpoint Manager Mobile (EPMM) offengelegt, die bereits in einer begrenzten Anzahl von Kundenumgebungen ausgenutzt wurden.

https://www.all-about-security.de/ivanti-endpoint-manager-aktive-ausnutzung-kritischer-zero-day-schwachstellen/

#update #ivanti #zeroday #schwachstellen

Ivanti Endpoint Manager: Aktive Ausnutzung kritischer Zero-Day-Schwachstellen

Ivanti behebt zwei kritische RCE-Lücken in Endpoint Manager Mobile. Patches verfügbar. Erste Kompromittierungen bekannt.

All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit
AllAboutSecurityJan 23

Bekannte Sicherheitslücken als größtes Cyber-Risiko: Warum N-Day-Schwachstellen Unternehmen gefährden

https://www.all-about-security.de/bekannte-sicherheitsluecken-als-groesstes-cyber-risiko-warum-n-day-schwachstellen-unternehmen-gefaehrden/

#cybersecurity #schwachstellen #zeroday

Warum bekannte Sicherheitslücken nicht ignoriert werden dürfen

Entdecken Sie die Auswirkungen bekannter Sicherheitslücken auf Unternehmen. Warum diese Schwachstellen ein hohes Risiko darstellen.

All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit
AllAboutSecurityJan 22

Remote-Codeausführung in Cisco Unified Communications: Kritische Schwachstelle erfordert sofortiges Handeln

Cisco stuft das Risiko als kritisch ein und stellt Software-Updates zur Verfügung.

https://www.all-about-security.de/remote-codeausfuehrung-in-cisco-unified-communications-kritische-schwachstelle-erfordert-sofortiges-handeln/

#cisco #update #Remotecode #schwachstellen

Remote-Codeausführung in Cisco Unified Communications: Kritische Schwachstelle erfordert sofortiges Handeln

Kritische Schwachstelle in Cisco Unified Communications Manager ermöglicht unauthentifizierte Remote-Codeausführung. Betroffene Produkte, technische Details und verfügbare Patches im Überblick.

All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit