Derzeit haben es Angreifer auf WordPress-Websites mit Gravity-SMTP-Plug-in abgesehen und attackieren Instanzen. Ein Sicherheitspatch ist bereits seit Ende dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Ihnen zufolge ist die Lücke (CVE-2026-4020 „mittel“) seit März dieses Jahres bekannt. Seitdem gibt es auch die reparierte Ausgabe 2.1.5. Alle vorigen Versionen sind verwundbar.

Die Forscher geben an, dass das Plug-in derzeit rund 100.000 aktive Installationen aufweist.

Unbefugte Zugriffe

Ansatzpunkt für Angreifer ist ein nicht ausreichend sicher konfigurierter REST-API-Endpoint. So können sie ohne Authentifizierung darauf zugreifen, um über einen HTTP-GET-Request detaillierte Systemkonfigurationen abzurufen und diese Informationen für weiterführende Attacken zu nutzen.⁣

Die Sicherheitsforscher geben an, bereits 17 Millionen Angriffsversuche dokumentiert zu haben. Admins sollten dementsprechend zügig handeln und ihre Instanzen absichern. In ihrem Beitrag führen sie detaillierte Informationen zur Lücke auf. Zusätzlich finden Admins dort konkrete Hinweise (Indicators of Compromise, IoC), wie IP-Adressen, an denen sie bereits attackierte Systeme erkennen können.

(des)

Admins von Atlassian-Anwendungen sollten, um möglichen Attacken vorzubeugen, die ab sofort verfügbaren Sicherheitsupdates für verschiedene Produkte des Softwareherstellers installieren. Geschieht das nicht, können Angreifer Sicherheitslücken in etwa Bitbucket, Confluence und Jira Service Management ansetzen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Überblick für Admins

Wie aus dem Sicherheitsbereich der Atlassian-Website hervorgeht, haben die Entwickler in aktuellen Versionen insgesamt 100 Lücken geschlossen. Davon sind neben dem eigenen Code auch Abhängigkeiten zu etwa Apache Tomcat betroffen.

Weil eine Auflistung der Schwachstellen und reparierten Ausgaben den Rahmen dieser Meldung sprengt, müssen sich Admins auf der verlinkten Seite des Softwareherstellers einen Überblick verschaffen. Im Folgenden finden sich einige besonders bedrohliche Lücken.

Die Gefahren

Unter den geschlossenen Schwachstellen sind auch einige „kritische“ Lücken – darunter sogar welche mit maximalem CVSS Score 10 von 10 (etwa CVE2026-40175). Das ist zum Beispiel der Fall in Axios im Zusammenhang von Jira Data Center and Server. Die Atlassian-Entwickler schreiben, dass aufgrund der Form der Abhängigkeit in diesem Kontext eine weniger bedrohliche Einstufung als kritisch gilt. Bei dieser Prototype-Pollution-Schwachstelle können Angreifer manipulierend eingreifen und etwa eigenen Code ausführen. Dagegen sollen die Versionen 11.3.7 (LTS) recommended Data Center Only und 10.3.22 (LTS) Data Center Only gerüstet sein.

Der Großteil der verbleibenden Lücken ist mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem für DoS-Attacken (etwa CVE-2026-33388) ansetzen oder sogar Schadcode aus der Ferne ausführen (CVE-2026-41044).

(des)

Mit dem Start ihres gemeinsamen Jugendangebots „Funk“ haben ARD und ZDF eines der größten und radikalsten Experimente in der öffentlich-rechtlichen Geschichte gewagt: völlig ohne linearen Sender im Hintergrund öffentlich-rechtliche Inhalte für junge Zielgruppen direkt auf den großen kommerziellen Plattformen publizieren.

Zehn Jahre später bestreitet kaum jemand ernsthaft, dass das Experiment geglückt ist. Und zwar nicht nur weil es gelungen ist, junge Zielgruppen mit öffentlich-rechtlichen Inhalten zu erreichen: rund 80 Prozent der 14- bis 29-Jährigen nutzen Funk. Die vielen unterschiedlichen Formate verbunden mit der Herausforderung, an einer sich ständig wandelnden, jungen Zielgruppe dranzubleiben, machen Funk zu einem kreativen Experimentier- und Innovationsfeld.

Längst wechseln auch Menschen und deren Know-how von Funk zurück in die Anstalten – von Wissenschaftsjournalistin Mai Thi Nguyen-Kim bis hin zum aktuellen ARD-Vorsitzenden und HR-Intendanten Florian Hager, der sich seine Sporen mit dem Aufbau von Funk verdient hat. In dem Maße, in dem Reichweite auf Drittplattformen und Publikumsinteraktion auch für andere Zielgruppen an Bedeutung gewinnen, nimmt auch die Bedeutung dieses Know-how-Transfers zu.

Aber gerade weil die Sinnhaftigkeit von Funk insgesamt – anders als die einzelner Funk-Formate – inzwischen nicht mehr ernsthaft in Frage gestellt wird, sollte der zehnte Geburtstag Anlass sein zu fragen: Sollte Funk nicht mehr leisten, als junge Zielgruppen auf Kommerzplattformen zu erreichen? Es gibt drei konkrete Stellen, an denen man die Messlatte für Funk künftig höher legen sollte.

1. Wo sind die Live-Formate, die gemeinsam junge Öffentlichkeit herstellen?

Live ist demokratische Gegenwart: Wenn bei einem (stundenlangen) Live-Stream auf YouTube oder Twitch das Publikum gleichzeitig, gemeinsam und interaktiv teilnimmt, erzeugt das ein anderes Öffentlichkeitsgefühl als der hunderttausendfach isoliert konsumierte, perfekt geschnittene Clip.

Und auch wenn Funk auf Twitch schon präsent ist, fehlt es am Programmatischen und Innovativen. Wo sind wiederkehrende Live-Formate, die mehr sind als gelegentliche Streams? Wo sind Live-Debattenformate, Live‑Q&As, Live-Erklärstücke zu aktuellen Kontroversen, Live-Korrekturen von Falschinformationen? Wo sind neue öffentlich-rechtliche Live-Formate, die die neuen digitalen Möglichkeiten auszureizen versuchen?

2. Wo bleiben tagesaktuelle Nachrichtenformate für die Funk-Zielgruppe?

Mehr und neue Live-Formate könnten auch eine Antwort auf eine weitere, öffentlich-rechtliche Leerstelle sein: Funk fehlt es an eigenen, tagesaktuellen Nachrichten-Formaten. Selbst der wöchentliche Nachrichtenüberblick „Die Woche – der Funk-Podcast“ wurde Ende 2025 eingestellt.

Es ist eine besondere Herausforderung, junge Zielgruppen mit tagesaktuellen Nachrichteninhalten zu erreichen, wenn die über immer weniger Erfahrung mit klassischen Print- und Fernsehnachrichten verfügen. Aber genau deshalb sollte Funk diesem Bereich eine höhere Prioriät einräumen.

3. Welchen Beitrag leistet Funk für eine dezentral-offene Digitalinfrastruktur jenseits von Big Tech?

Wenn öffentlich-rechtliche Medien im digitalen Zeitalter ihren demokratischen Auftrag erfüllen wollen, müssen sie mehr als nur öffentlich-rechtliche Inhalte liefern. Zentral für Digitalen Public Value ist auch ein öffentlich-rechtliches (Selbst-)Verständnis als gemeinwohlorientierter Infrastrukturanbieter.

Und gerade weil Funk Reichweite und öffentlich-rechtliche Budgets hat, wäre es prädestiniert, dort zu investieren, wo Marktlogiken strukturell versagen: in offene Protokolle, Interoperabilität und Portabilität. Kurz: in digital-öffentliche Räume.

Es ist völlig nachvollziehbar, dass sich Funk in den ersten zehn Jahren darauf konzentriert hat, auf kommerziellen Drittplattformen zu reüssieren. Wäre das nicht gelungen, Funk wäre keine zehn Jahre alt geworden. Doch der alleinige Fokus auf die großen, datenkapitalistischen und werbefinanzierten Kommerzplattformen passt nicht mehr in eine Welt, die dringender denn je nach öffentlich-rechtlichen Ausweichrouten verlangt.

Diese Erkenntnis dürfte sich inzwischen auch bei den Funk-Verantwortlichen durchgesetzt haben. Seit dieser Woche verfügt auch Funk über eine eigene Instanz bei Mastodon (und witzelt zum Start, dass sogar 3sat früher dran war). Und bereits einen Monat davor hatte Funk-Chef Philipp Schild öffentlich mehr Engagement in diesem Bereich angekündigt:

Wir brauchen Alternativen zu den Plattformen der Big-Tech-Konzerne. Mit AT Protocol und Mastodon existieren technische Systeme, die das ermöglichen würden. Aber: Die Nutzenden – gerade in der Funk-Zielgruppe – wollen nicht auf einen großen Content-Pool und einen guten Vorschlagsalgorithmus verzichten. Genau hier liegt die eigentliche Aufgabe.

In der Tat ist das eine ebenso wichtige wie ambitionierte Aufgabe. Dass Funk sich zutraut, hier einen substanziellen Beitrag zu leisten, ist erfreulich. Aber es ist auch höchste Zeit. In diesem Sinne: Alles Gute für die nächste Funk-Dekade!