Die Lektion heute Morgen ist hässlich und vertraut: Sobald vertrauenswürdige Admin- oder Entwicklerpfade vergiftet sind, brauchen Angreifer keine Eleganz mehr, um Schaden anzurichten.
Top line: Fünf Geschichten zählen heute Morgen: CISA drängt auf schnelles Patchen von Windows-Systemen, die Lieferketten-Kompromittierung sprang von SAP-npm-Paketen auf PyTorch Lightning und intercom-client über, cPanel-Auth-Bypass-Versuche laufen bereits, Linux Copy Fail macht root billig, und Google musste eine maximal kritische Gemini-CLI-Lücke schließen.
Laut BleepingComputer hat CISA eine aktiv ausgenutzte Windows-Schwachstelle in den Katalog bekannter ausgenutzter Lücken aufgenommen und Bundesbehörden ein Patch-Fenster gesetzt. Das Signal ist eindeutig: Wenn CISA Notfalltempo fordert, sollten Unternehmen davon ausgehen, dass Angreifer den Pfad bereits praktisch nutzen.
The Hacker News berichtet, dass bösartige Versionen von PyTorch Lightning 2.6.2 und 2.6.3 am 30. April veröffentlicht wurden und zur gleichen Mini-Shai-Hulud-Lieferkettenaktivität gehören, die offizielle SAP-nahe npm-Pakete traf. Das Ziel sind GitHub-, npm-, SSH-, Cloud-, Kubernetes- und CI-Geheimnisse. Jeder betroffene Entwicklerrechner und Runner ist damit ein Incident, nicht bloß ein kaputtes Dependency-Update.
BleepingComputer und The Register beschreiben den cPanel-/WHM-Authentifizierungs-Bypass als kritisch, aktiv ausgenutzt und so ernst, dass Notfall-Patches nötig waren. Das ist deshalb brutal, weil Control-Panel-Bugs direkt zu Websites, Mailboxen, Datenbanken und oft ganzen Hosting-Flotten führen.
The Register und The Hacker News beschreiben Copy Fail (CVE-2026-31431) als Linux-LPE, die aus einem kleinen foothold root auf großen Distributionen machen kann. Relevant ist das überall dort, wo bereits Code mit geringerer Vertrauensstufe laufen kann: CI, Shared Server, Jump Hosts, Container mit gemeinsamem Kernel.
The Register und The Hacker News melden, dass Google eine maximal kritische Command-Execution-Lücke in Gemini CLI und dem zugehörigen GitHub-Action-Workflow gepatcht hat; dazu kommen Cursor-Probleme mit möglicher Codeausführung. Operativ unangenehm ist, dass CI nach dem Update brechen kann – trotzdem ist das besser, als einen Host-Execution-Pfad offen zu lassen.
Dringende Windows-Ziele patchen, Geheimnisse nach kompromittierten Paket-Installationen rotieren, das cPanel-Loch schließen, Linux-Kernel dort patchen, wo lokale Ausführung zählt, und AI-gestützte CI nach Gemini-Updates neu testen. Das Muster ist simpel: Vertraute Betriebswege stehen unter Beschuss.