Eine dreitägige KI-Pipeline fand über 300 WordPress-Plugin-Zero-Days für je 20 $. Die Disclosure-Infrastruktur ist nicht vorbereitet – und Angreifer nutzen dieselbe Methode bereits.
TeamPCP exfiltrierte 3.800 interne GitHub-Repos über eine manipulierte Nx Console Extension, die 18 Minuten aktiv war. Der eigentliche Kern: Wie Platform-Teams Developer-Tooling-Risiken einpreisen.
Eine kritische Schwachstelle in Drupal Core, CVE-2026-9082, ermöglicht anonymen Angreifern SQL-Injection auf PostgreSQL-basierten Sites, die bis zur Remote-Code-Ausführung eskalieren kann.
Ein Spoofing-Zero-Day in Exchange OWA wird aktiv ausgenutzt, CISA hat ihn im KEV, und Microsoft nennt keinen Patch-Termin. Die langweiligen Lücken gewinnen immer noch.
CVE-2026-44578 verwandelt den Next.js WebSocket-Upgrade-Pfad in einen Angreifer-Proxy. Selbst gehostete Apps sind betroffen, Vercel-Deployments nicht. Sofort patchen.
Ein Heap-Overflow im NGINX-Rewrite-Modul blieb 18 Jahre unentdeckt. CVE-2026-42945 ermöglicht es einem nicht authentifizierten Angreifer, mit einer einzigen HTTP-Anfrage RCE zu erlangen.
Nitrogen beansprucht 8TB und 11 Millionen Dateien aus Foxconns nordamerikanischen Werken, darunter Netzwerktopologiekarten für Intel, Google und AMD. Die Rechnung für die Lieferkette wird fällig.
