Web-Sicherheit Frühjahr 2026: Was sich in sechs Wochen änderte

Zwischen Ende April und Mitte Mai 2026 füllte sich der Web-Sicherheitskalender schneller als üblich. CVEs in Web-Frameworks, ein Windows-Wurmrisiko, eine Hintertür in einem WordPress-Plugin mit 70.000 Installationen, eine Let's Encrypt-Störung und neue Forschung dazu, wie schnell verbreitete Passwort-Hashes geknackt werden können. Hier ein sachlicher Überblick für die Website eines kleinen Unternehmens.

Web-Frameworks und Webserver

SPIP — CERTFR-2026-AVI-0564, 12. Mai 2026. CERT-FR veröffentlichte einen Hinweis für SPIP-Versionen unter 4.4.14 mit Risiko der entfernten Code-Ausführung. Update auf SPIP 4.4.14 oder höher.

Spring — CERTFR-2026-AVI-0554, 11. Mai 2026. Fünf CVEs für Spring Cloud Function und Spring (CVE-2026-40989, CVE-2026-40990, CVE-2026-41705, CVE-2026-41712, CVE-2026-41713), darunter Verletzung der Datenvertraulichkeit, Umgehung der Sicherheitsrichtlinien, Denial of Service und entfernte Code-Ausführung. Betroffene Versionen: Spring Cloud Function vor 3.2.16, 4.1.10, 4.2.6, 4.3.3 und 5.0.2.

NGINX — CVE-2026-42945, 14. Mai 2026. Heap-Buffer-Overflow im Rewrite-Modul, CVSS 9.2, in NGINX Open Source 0.6.27 bis 1.30.0. Gepatcht in 1.31.0 und 1.30.1. Kann zu Denial of Service und, bei deaktiviertem ASLR, zu entfernter Code-Ausführung führen. Der Fehler war 18 Jahre lang vorhanden.

cPanel — CVE-2026-29202, gemeldet am 8. Mai 2026. CVSS 8.8. Ein authentifizierter Nutzer kann beliebigen Perl-Code auf der zugrunde liegenden Maschine ausführen. Auf Shared Hosting kann jeder normale Account-Inhaber so zum Angreifer gegen Nachbarsites auf demselben Server werden.

WordPress

Backdoor in Quick Page/Post Redirect — Security.NL, 30. April 2026. Forscher Austin Ginder fand heraus, dass das Plugin mit über 70.000 aktiven Installationen zwei Hintertüren enthielt: Content-Injection und das Laden von Updates aus einer schädlichen Domain (faktisch entfernte Code-Ausführung). Der Schadcode soll 2021 eingefügt worden sein. WordPress.org hat das Plugin aus dem offiziellen Repository entfernt. Falls Sie es installiert haben, deaktivieren und entfernen Sie es.

Zu den vier anderen WordPress-Plugin-Schwachstellen aus März-April 2026 (MW WP Form, Perfmatters, Tutor LMS Pro, Smart Slider 3) siehe unser eigenes WP-Plugin-Update.

Vertrauen und Zertifikate

Let's Encrypt-Störung — 8.-9. Mai 2026, etwa 2,5 Stunden. Neu erstellte Root- und Intermediate-CAs fehlte die serverAuth-EKU-Erweiterung, die die Common-CA-Database-Richtlinie vorschreibt. Let's Encrypt stoppte die Zertifikatsausstellung, korrigierte die Konfiguration und nahm sie dann wieder auf. Sites, deren Erneuerung in dieses Fenster fiel, mussten unter Umständen erneut versuchen.

DNSSEC und SSL-Erneuerungen — Sucuri-Blog, 4. Mai 2026. Marc Kranat (Sucuri) erklärt, wie Ballot SC-085v2 des CA/Browser Forum, vollständig umgesetzt im März 2026, eine strikte DNSSEC-Validierung bei Ausstellung und Erneuerung von Zertifikaten verpflichtend gemacht hat. Häufige Fehlerquellen: falsche oder fehlende DS-Records beim Registrar, abgelaufene RRSIG-Signaturen, unvollständige Key-Rollovers, inkonsistente signierte Daten zwischen Nameservern, Uhr- oder Algorithmus-Mismatch. Diagnosetools: DNSViz, Zonemaster, delv.

Kryptografie

60 % der MD5-Hashes in unter einer Stunde geknackt — Kaspersky, 7. Mai 2026. Mit einer einzigen Nvidia RTX 5090 hat Kaspersky über 231 Millionen einzigartige Passwörter aus Darknet-Leaks getestet. 60 Prozent wurden in unter einer Stunde geknackt, 48 Prozent in unter 60 Sekunden. Praktische Folge: Wenn Ihre Site Passwörter noch als MD5 (oder einen anderen schnellen, ungesalzenen Hash) speichert, gehen Sie bei jedem Leak davon aus, dass die Passwörter ebenfalls wiederhergestellt sind. Wechseln Sie zu bcrypt, scrypt oder Argon2.

Windows-Infrastruktur

Drei wurmfähige Windows-CVEs — Security.NL, 13. Mai 2026. Microsofts Mai-Patch-Tuesday enthielt CVE-2026-41089 (Windows Netlogon, entfernte Code-Ausführung auf Domain Controllern, ohne Anmeldedaten); CVE-2026-41096 (Windows DNS-Client, RCE über schädliche DNS-Antworten); und CVE-2026-40415 (Windows TCP/IP, nicht-authentifizierte RCE, wobei Microsoft anmerkt, dass die Ausnutzung "considerably less likely" sei wegen Speicherbeschränkungen). Patches sind verfügbar. Wenn Sie irgendwo Windows Server betreiben, spielen Sie sie ein.

Was das in Summe heißt

Das britische NCSC veröffentlichte am 1. Mai 2026 einen Blogbeitrag mit dem Titel "Preparing for a vulnerability patch wave" und argumentiert, dass KI-Tools die Entdeckung von Schwachstellen beschleunigen und Organisationen mit mehr Meldungen, schneller, über die gesamte Stack rechnen müssen. Die sechs zusammengefassten Wochen sind ziemlich genau, wie das in der Praxis aussieht: Jede wichtige Oberfläche (Web-Framework, Hosting-Panel, Webserver, WordPress-Plugin, öffentliche CA, OS) hatte etwas zu vermelden.

Für ein kleines Unternehmen geht es nicht um Panik, sondern um Routine. Drei Gewohnheiten decken das meiste ab:

1. Aktivieren Sie automatische Updates für WordPress-Kern, Plugins und Ihr Betriebssystem. Die Ausnahmen (kostenpflichtige Plugins, individuelle Integrationen) sollten eine kurze, aktiv verwaltete Liste sein, nicht die Regel.
2. Führen Sie Buch darüber, welche Drittanbieter-Dienste Ihre Site nutzt, damit Sie binnen Stunden von einem kritischen Hinweis erfahren und nicht erst Wochen später aus dem Blog eines Mitbewerbers.
3. Hören Sie auf, schnelle ungesalzene Hashes für Anmeldedaten zu speichern. Falls Sie Ihre Passwort-Speicherung 2026 noch nicht überprüft haben, tun Sie das diese Woche.

Die Sicherheits-Checkliste für kleine Unternehmen und der Leitfaden zu verwundbaren WordPress-Plugins decken die Grundlagen ab.

Quellen: CERT-FR AVI-0564 — SPIP, CERT-FR AVI-0554 — Spring, BleepingComputer — NGINX CVE-2026-42945, Security.NL — cPanel CVE-2026-29202, Security.NL — Let's Encrypt-Störung, Sucuri-Blog — DNSSEC und SSL, The Register / Kaspersky — MD5, Security.NL — Wurmfähige Windows-CVEs, Security.NL — Quick-Page/Post-Redirect-Backdoor, NCSC — Vulnerability patch wave.