End-of-Day report
Timeframe: Mittwoch 29-04-2026 18:00 - Donnerstag 30-04-2026 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Guenes Holler
News
Popular WordPress redirect plugin hid dormant backdoor for years
The Quick Page/Post Redirect plugin, installed on more than 70,000 WordPress sites, had a backdoor added five years ago that allows injecting arbitrary code into users sites.
https://www.bleepingcomputer.com/news/security/popular-wordpress-redirect-plugin-hid-dormant-backdoor-for-years/
RDP Security: CPS Threats Spark Need for Secure Remote Access
1.8 million RDP and 1.6 million VNC servers are exposed on the internet. [..] 18% of exposed RDP servers run end-of-life Windows versions; an additional 42% run Windows 10, which reached end of support last October. [..] 19,000+ RDP servers remain vulnerable to BlueKeep (CVE-2019-0708) - a critical remote code execution flaw. Nearly 60,000 VNC servers have authentication disabled - 670+ of those have direct access to OT/ICS control panels. [..] Hacktivist groups are sharing custom tools to scan for vulnerable VNC servers and selling access to compromised assets.
https://www.forescout.com/blog/rdp-security-cps-threats-spark-need-for-secure-remote-access/
Google Fixes CVSS 10 Gemini CLI CI RCE and Cursor Flaws Enable Code Execution
Google has addressed a maximum severity security flaw in Gemini CLI -- the "@google/gemini-cli" npm package and the "google-github-actions/run-gemini-cli" GitHub Actions workflow -- that could have allowed attackers to execute arbitrary commands on host systems. [..] The update addresses the problem by requiring folders to be explicitly trusted before configuration files can be accessed. To that end, users are being urged to review their workflows and adopt one of two approaches.
https://thehackernews.com/2026/04/google-fixes-cvss-10-gemini-cli-ci-rce.html
Aktive Ausnutzung einer schwerwiegenden Sicherheitslücke in cPanel und WHM
Der Hersteller cPanel hat kürzlich Sicherheitsupdates zur Behebung einer kritischen Schwachstelle (CVE-2026-41940) in den Produkten cPanel & WHM sowie WP Squared veröffentlicht. Laut Berichten von watchTowr wird diese Schwachstelle bereits aktiv durch Angreifer:innen ausgenutzt, um Hosting-Infrastrukturen zu kompromittieren. Es gibt Hinweise darauf, dass gezielte Zero-Day-Angriffe bereits seit Ende Februar 2026 stattfinden.
https://www.cert.at/de/aktuelles/2026/4/aktive-ausnutzung-einer-schwerwiegenden-sicherheitslucke-in-cpanel-und-whm
New AI-Powered Bluekit Phishing Kit Targets Major Platforms with MFA Bypass Attacks
Bluekit Phishing Kit is a new PhaaS tool that targets major platforms, using AiTM techniques to steal session data and bypass MFA protections. [..] According to Varonis- experts, when a victim enters their details on a fake Bluekit page, the kit doesn-t just grab the password; it also steals session cookies and local storage data.
https://hackread.com/bluekit-phishing-kit-targets-platforms-mfa-bypass-attack/
Adapting Zero Trust Principles to Operational Technology
This guidance supports OT owners and operators in addressing the unique challenges of transitioning to a ZT architecture, considering technology gaps from legacy infrastructure, operational constraints, and safety requirements. It focuses on establishing comprehensive asset visibility, proactively addressing supply chain risks, and implementing robust identity and access management while stressing the importance of layered security measures-including network segmentation, secure communication protocols, and vulnerability management.
https://www.cisa.gov/resources-tools/resources/adapting-zero-trust-principles-operational-technology
Malicious npm Package Brand-Squats TanStack to Exfiltrate Environment Variables
The Socket Research Team has detected an active supply-chain attack targeting the unscoped tanstack package on npm, a brand-squatted impersonation of the legitimate @tanstack/* organization. Beginning today, the package's maintainer (sh20raj) began pushing malicious versions that silently steal environment variable files, including .env, .env.local, and .env.production, from developers' machines at install time, exfiltrating them to an attacker-controlled endpoint. Versions 2.0.4 through 2.0.7 are confirmed malicious.
https://socket.dev/blog/tanstack-brandsquat-compromise?utm_medium=feed
Vulnerabilities
SonicWall SonicOS: Sicherheitslücke erlaubt Management-Interface-Zugriff
SonicWall warnt vor drei Sicherheitslücken in SonicOS. [..] Am schwersten wiegt eine Schwachstelle, die die Entwickler als schwache Authentifizierung einstufen. Dadurch können Angreifer unbefugt auf bestimmte, nicht genannte Management-Interface-Funktionen zugreifen - unter ebenfalls nicht genannten Umständen (CVE-2026-0204, CVSS 8.0, Risiko -hoch-).
https://www.heise.de/news/SonicWall-SonicOS-Sicherheitsluecke-erlaubt-Management-Interface-Zugriff-11277522.html
ProFTPD: Codeschmuggel durch mod_sql möglich
Laut der Schwachstellenbeschreibung ist mod_sql von ProFTPD vor der Version 1.3.10rc1 von der Sicherheitslücke betroffen. Durch den übertragenen Nutzernamen können bösartige Akteure aus dem Netz ohne vorherige Anmeldung beliebige SQL-Befehle und Schadcode einschleusen. Das gelingt in Szenarien, die USER-Anfragen mit Erweiterungen wie -%U- loggen und in denen das SQL-Backend Befehle zulässt, beispielsweise -COPY TO PROGRAM- (CVE-2026-42167, CVSS 8.1, Risiko -hoch-). [..] Admins sollten daher prüfen, ob sie das mod_sql etwa für Logging in Datenbanken überhaupt einsetzen.
https://www.heise.de/news/ProFTPD-Codeschmuggel-durch-mod-sql-moeglich-11277942.html
Copy Fail: Kritische Linux-Kernel-Schwachstelle ermöglicht lokale Root-Rechte
Die Schwachstelle steckt im Linux-Kernel und beruht auf einem simplen, aber schweren Logikfehler. Benutzer:innen können dadurch mit wenig Daten gezielt in eigentlich geschützte Speicherbereiche schreiben. Das reicht aus, um interne Strukturen zu verändern und sich höhere Rechte zu verschaffen. Der Vorgang funktioniert zuverlässig und ohne typische Hürden wie Race Conditions oder spezielle Systemabhängigkeiten.
https://www.cert.at/de/warnungen/2026/4/copy-fail-kritische-linux-kernel-schwachstelle-ermoglicht-lokale-root-rechte
LWN: Security updates for Thursday
https://lwn.net/Articles/1070640/