Aufgrund einer Sicherheitslücke können Angreifer WordPress-Websites, auf denen das Plugin „Ally – Web Accessibility & Usability“ installiert ist, attackieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

SQl Injection

Über die Schwachstelle (CVE-2026-2413, Risiko „hoch“) berichten Sicherheitsforscher von Wordfence in einem Beitrag. Aufgrund von unzureichenden Überprüfungen können Angreifer ohne Authentifizierung über präparierte URLs eigene SQL-Befehle ausführen. Klappt eine solche Attacke, haben Angreifer Zugriff auf eigentlich abgeschottete Daten wie Passwort-Hashes.

Wie aus der Plugin-Website hervorgeht, weist Ally 400.000 aktive Installationen auf. Diese Websites sind potenziell angreifbar. Die Entwickler versichern, die Lücke in Ally – Web Accessibility & Usability 4.1.0 geschlossen zu haben. Davon sollen alle Ausgaben bis inklusive 4.0.3 bedroht sein.

Die Sicherheitsforscher geben an, dass die Schwachstelle Anfang Februar über ihr Bug-Bounty-Programm gemeldet wurde. Das Sicherheitsupdate haben die Entwickler dann Ende Februar veröffentlicht.

(des)

In der Backup-Software Veeam Backup & Replication haben die Programmierer mehrere, teils sogar kritische Sicherheitslücken entdeckt. Sie erlauben Angreifern unter anderem, beliebigen Code einzuschleusen und auszuführen. Updates bessern die Schwachstellen aus.

Veeam hat zwei Sicherheitsmeldungen veröffentlicht. In der ersten Mitteilung listet das Unternehmen die Sicherheitslecks auf, die das Update auf Veeam Backup & Replication 12.3.2.4465 schließt. Details nennt Veeam jedoch nicht, sondern lediglich die Auswirkungen. Zwei Lücken ermöglichen etwa authentifizierten Domain-Usern, Schadcode aus dem Netz auf dem Backup-Server auszuführen (CVE-2026-21666, CVE-2026-21667, beide CVSS 9.9, Risiko „kritisch“). Angemeldete Domain-Nutzer können zudem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories manipulieren (CVE-2026-21668, CVSS 8.8, Risiko „hoch“). Auf Windows-basierten Backup & Replication-Servern ist zudem die Ausweitung der Rechte möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch“). IT-Verantwortliche mit Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 sollen auf die neue Version aktualisieren.

Eine zweite Sicherheitsmitteilung fasst die Schwachstellen zusammen, die die Version Veeam Backup & Replication 13.0.1.2067 ausbessert. Auch hier können angemeldete Domain-User Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21669, CVSS 9.9, Risiko „kritisch“). In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können User mit Backup-Admin-Rolle beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“). Die Rechteausweitungslücke CVE-2026-21672 betrifft auch den 13er-Entwicklungszweig. Außerdem können Nutzer mit niedrigen Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch“).

Veeam: Schwachstellen in allen Versionen

In den 12er- und 13er-Fassungen von Veeam finden sich zudem gemeinsame Sicherheitslücken. Nutzer, die in der Backup-Viewer-Rolle aktiv sind, können zudem Code aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Die Version passt zudem noch den Port-Range des Veeam Agent für Linux an den von anderen Veeam-Produkten an, er liegt nun zwischen 2500 und 3000. Veeam gibt an, dass die Lücken in internen Tests und über Einreichungen über die Bug-Bounty-Plattform HackerOne gefunden wurden. Eine öffentliche Ausnutzung berichtet der Hersteller nicht.

IT-Verantwortliche sollten sich zügig um die Aktualisierung ihrer Veeam-Systeme kümmern. Die kritischen Sicherheitslücken bieten Angreifern andernfalls eine Angriffsfläche. Zuletzt hatte Veeam mehrere Schwachstellen in der Backup-Software im Januar korrigiert.

(dmk)

Der US-Medizingerätehersteller Stryker, mit einem Jahresumsatz von 25,1 Milliarden US-Dollar und 56.000 Mitarbeitern im Jahr 2025 ein recht großes und auch in Deutschland an mehreren Standorten aktives Unternehmen, wurde Opfer eines Cyberangriffs. Am Donnerstag dieser Woche bestätigt Stryker den von der im Iran verorteten Cyberbande Handala behaupteten Cyberangriff auf die IT-Systeme.

Demnach hat ein Cyberangriff auf die Computersysteme von Stryker am Mittwoch dieser Woche zur weitreichenden Unterbrechung der Geschäftsprozesse geführt, einschließlich der Bestellbearbeitung, Produktion und dem Versand, berichtet Reuters. Die iranische Cybergang Handala behauptet, für den Angriff verantwortlich zu sein. Er erfolgte demnach als Vergeltung für einen Angriff auf eine Mädchenschule in Minab im Süden des Iran Ende Februar.

„Globale Störung der Microsoft-Umgebung“

Stryker hat gegenüber US-Medien am Mittwoch erklärt, eine „globale Störung in der Microsoft-Umgebung“ zu haben. Der IT-Journalist Brian Krebs konkretisiert, dass es sich um einen Wiper-Angriff handelt, bei dem mehr als 200.000 Systeme, Server und Mobilgeräte des Unternehmens gelöscht worden sein sollen. Ein Mitarbeiter des Unternehmens habe demnach dem Irish Examiner berichtet, dass alle zum Unternehmensnetz verbundenen Geräte „Down“ seien und jedes Gerät mit Microsoft Outlook darauf gelöscht wurde.

Die Login-Webseiten seien mit dem Logo der Gruppe Handala verunstaltet. Gegenüber Krebs habe eine anonyme, aber vertrauenswürdige Quelle angegeben, dass die Cyberkriminellen Microsofts Intune-Dienst für die Fernlöschung sämtlicher verbundener Geräte genutzt haben. Dabei handelt es sich um eine bekannte und weitverbreitete, cloudbasierte Netzwerk-, Software- und Geräteverwaltungssoftware von Microsoft.

Der Vorfall habe jedoch keine patientenbezogenen Dienste und damit verbundene Medizinprodukte getroffen, erklärte Stryker. Der volle Umfang und die finanziellen Folgen seien derzeit noch nicht absehbar. Die Untersuchungen laufen noch.

Auf Anfrage von heise online hat Stryker bislang noch nicht reagiert. Möglicherweise sind auch die deutschen Dependancen davon betroffen.

(dmk)