Ein SSRF mit Schweregrad 9,8 in Oracle PeopleSoft verschaffte ShinyHunters zwei Wochen ungestörten Zugriff, 300 Endpunkte und 48 GB Daten von einem einzigen Opfer. Universitäten traf es am härtesten.
SoFi Hongkong entdeckte am 30. April 2026 eine Datenpanne über einen Drittanbieter. Der Anbieter bleibt unbekannt, das Ausmaß unklar – Kunden warten auf Antworten.
Ein PAN-OS-Bug mit mittlerem Schweregrad steht jetzt auf der CISA-KEV-Liste, wird aktiv ausgenutzt und ein öffentlicher PoC kursiert bereits. Die Kosten eines verzögerten Patchens steigen rapide.
Ein vier Jahre alter Auth-Bypass in Giteas Container-Registry erlaubt das Pullen privater Images von 31.750 exponierten Instanzen. Patch ist in 1.26.2. Sofort handeln.
Check Points 2026-Bericht zeigt eine 51-Punkte-Lücke: 77% der Unternehmen haben ihre Cloud-Sicherheitsstrategie für KI aktualisiert, aber nur 26% können sie technisch durchsetzen.
Die Zero-Day-Uhr misst die mittlere Zeit von der Offenlegung bis zur Ausnutzung: nur noch gut einen Tag – gegenüber einem Jahr in 2021. Der 90-Tage-Patch-Zyklus ist Geschichte.
Jede KnowledgeDeliver-Installation vor dem 24. Februar 2026 enthielt denselben hardcodierten ASP.NET machineKey. Ein geleakter Schlüssel, ein ViewState-Payload, vollständige RCE.