IT-Forscher haben in der populären Forensoftware phpBB Sicherheitslücken entdeckt, die etwa die Anmeldung mit jedem Nutzerkonto ermöglichen. Das ganze Board lässt sich damit übernehmen. Ein Update steht bereit, das Admins zügig anwenden sollten.

Das Leck finde sich seit zehn Jahren in der Software, schreibt der Anbieter des genutzten KI-Pentesting-Tools in einer Analyse. Wie Mitarbeiter von Aikido erklären, ist die Standardkonfiguration anfällig, mithin tausende Foren für Angriffe verwundbar. Unabhängig davon hat Dan Stefan Alexandru die Lücke und eine weitere ebenfalls aufgespürt.

Das phpBB-Team hat die Version 3.3.17 „Young Bertie“ veröffentlicht, die diese und weitere Lücken schließt, und bittet Foren-Admins um rasches Update der Software. Insgesamt stopft das Release vier Sicherheitslücken. Als kritisches Risiko gilt eine Umgehung der Authentifizierung, durch die Angreifer einen gültigen Session-Token als beliebiger aktiver Nutzer erhalten können. Mit einer einzigen HTTP-Anfrage, ohne vorherige Anmeldung. Damit lassen sich fremde Nutzerkonten übernehmen (CVE-2026-48611, CVSS 9.8, Risiko „kritisch“). Diese Sicherheitslücke haben die beiden Entdecker unabhängig aufgedeckt und gemeldet.

Mehrere Sicherheitslücken: Jetzt updaten

Die zweite erwähnte Schwachstelle betrifft die Prüfungen in der OAuth-Implementierung, sie bedingt eine Schwachstelle vom Typ „Cross Site Request Forgery“ (CSRF). Wenn Opfer auf einen präparierten Link der Angreifer klicken, ermöglicht es die Übernahme des Kontos (CVE-2026-48612, CVSS 8.0, Risiko „hoch“).

Details zu den Lücken will Aikido noch nicht veröffentlichen, damit Admins Zeit zum Updaten haben. Allerdings ist die gepatchte Version veröffentlicht und mit einem einfachen diff gelangen Kriminelle an die nötigen Informationen, welcher Code verändert wurde. Angriffe sind daher in Kürze zu erwarten.

(dmk)

Angreifer können an mehreren Sicherheitslücken in Avira Antivirus ansetzen und im schlimmsten Fall Schadcode ausführen, um das System vollständig zu kompromittieren. Überdies ist Avira Password Manager unter bestimmen Bedingungen verwundbar.

Mehrere Softwareschwachstellen

In der US-amerikanischen National Vulnerability Database vom National Institute of Standards and Technology (NIST) sind vier Sicherheitslücken in Antivirus (CVE-2026-6676 „hoch“, CVE-2025-9033 „hoch“, CVE-2025-9032 „hoch“, CVE-2025-14098 „hoch“) und eine in Password Manager (CVE-2026-12068 „hoch“) aufgelistet. Im Sicherheitsbereich der Website von Gen Digital, zu der Avira gehört, tauchen die Sicherheitslücken bislang nicht auf. Von den Lücken sind die Linux-, macOS- und Windows-Version betroffen.

Bei Antivirus können Angreifer in allen vier Fällen mit präparierten Dateien an den Lücken ansetzen. Werden manipulierte OSIX-Tar-Archive, PDF-, Windows-PE- oder ausführbare MS-DOS-Dateien verarbeitet, kommt es zu Speicherfehlern (out-of-bounds). So etwas sorgt in der Regel für Abstürze. Oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.

Lücken geschlossen

Aus den CVE-Beiträgen geht hervor, dass die Schwachstellen offensichtlich die Scan-Engine betreffen und nicht den Client. Als früheste vollständig gepatchte Scan-Engine-Version nennen die CVE-Einträge 8.3.70.104. Wer Antivirus nutzt, sollte sicherstellen, dass mindestens diese Ausgabe installiert ist.

Es ist derzeit unklar, wann die reparierte Ausgabe erschienen ist. In der Regel genehmigen sich jedoch die AV-Hersteller unter der Gen-Digital-Führung um die drei Monate Zeit, bis sie geschlossene Sicherheitslücken benennen.

Password Manager ist nur in Kombination mit Firefox angreifbar. Ist das gegeben, können Angreifer auf einem nicht näher ausgeführten Weg im Kontext von Autofill-Feldern Zugangsdaten abgreifen. An dieser Stelle nennt der CVE-Eintrag keine dagegen gerüstete Versionsnummer.

(des)

Für das weitverbreitete Download-Tool curl sollen im Sommer für mehr als einen Monat keine Berichte zu Sicherheitslücken angenommen oder bearbeitet werden. Das hat der Maintainer Daniel Stenberg in einem Blogeintrag publik gemacht und nennt das „curls Sommer voller Glückseligkeit“. Der soll demnach vom 1. Juli (0 Uhr MESZ) bis zum 3. August (9 Uhr MESZ) gelten und nicht nur für das Bug-Bounty-Programm auf HackerOne gelten, sondern auch die projekteigene E-Mail-Adresse – über die aber sowieso keine Reports akzeptiert würden: „Jedes Problem, das ihr dem curl-Projekt in diesem Monat melden wollt, muss warten“, schreibt Stenberg. Er und die Betreuer wollen in der Zeit „tief durchatmen und den Sommer genießen“. Vielleicht werde man öfter draußen spazieren gehen oder andere Orte erkunden.

Mit dem Schritt ziehen Stenberg und sein Team Konsequenzen aus der enorm gestiegenen Arbeitslast, für die KI-Werkzeuge verantwortlich sind. Die sorgen seit einer Weile für einen drastischen Anstieg bei der Zahl der gemeldeten Sicherheitslücken. Auch wenn viel davon KI-generiert ist, handelt es sich nicht um offensichtlichen Unsinn, die Reports sind detailliert und ausführlich. Stenberg muss inzwischen vier- bis fünfmal so viele Sicherheitsmeldungen prüfen wie noch 2024 und dabei geht mit jeder einzelnen ein enormer Aufwand daher. Den nicht tragbaren Zustand hat er in diesem Jahr schon mehrfach öffentlich beklagt, eine Lösung ist aber nicht in Sicht. Mit „curls Sommer voller Glückseligkeit“ zieht er jetzt die Reißleine und sorgt dafür, dass er und die Betreuer endlich die nötige Erholung bekommen.

Zu wenige Geldgeber

In seinem Blogeintrag versichert Stenberg aber, dass Kundschaft mit einem kostenpflichtigen Supportvertrag auch im Juli betreut werde. Damit verweist er auf einen weiteren Kritikpunkt, denn obwohl curl oder libcurl von Unternehmen in dutzenden Milliarden Geräten eingesetzt wird, ist die Zahl der Geldgeber extrem überschaubar. Erst im Mai hat der Entwickler erklärt, dass er sich mehr finanzielle Unterstützung wünschen würde, diesbezüglich aber pessimistisch sei. Dem „Tsunami“ an Bug-Reports steht man bei curl deshalb weitestgehend alleine gegenüber. Ähnliche Klagen gab es zuletzt auch von vergleichbaren Projekten, deren Ressourcen ihrer Bedeutung für die globale IT-Infrastruktur nicht einmal ansatzweise entsprechen.

Die Ankündigung, dass curl nur noch zwei Wochen lang Sicherheitsmeldungen annehmen und bearbeiten will, erfolgt jetzt kurz nach einer drastischen Entscheidung von Anthropic. Das KI-Unternehmen, dessen besonders leistungsfähiges KI-Modell Mythos einen erheblichen Anteil an der stark gewachsenen Zahl gefundener Sicherheitslücken haben soll, hat den Zugriff darauf am Wochenende deutlich eingeschränkt. Die Hintergründe sind bislang nicht ganz klar. Ob die Zahl von Bug-Reports dadurch erst einmal wieder sinkt, ist unklar. Bei curl selbst soll das KI-Modell sowieso nur eine einzige Lücke gefunden haben, hat Stenberg vor einem Monat publik gemacht.

(mho)