RocketChat, Kritische

Rocket.Chat: Kritische API-Lücke gefährdet Unternehmensdaten

23.01.2026 - 09:13:12

Eine schwere API-Schwachstelle in Rocket.Chat offenbart vertrauliche OAuth-Daten. Unternehmen müssen ihre Systeme umgehend aktualisieren und Integrationsschlüssel neu generieren.

Rocket.Chat: Kritische API-Lücke gefährdet Unternehmensdaten - Foto: über boerse-global.de
Rocket.Chat: Kritische API-Lücke gefährdet Unternehmensdaten - Foto: über boerse-global.de

Eine schwerwiegende Schwachstelle in der Kommunikationssoftware Rocket.Chat ermöglicht Angreifern den Zugriff auf sensible Integrationsschlüssel. Unternehmen weltweit müssen ihre Systeme sofort aktualisieren.

Sicherheitsexperten schlagen Alarm: In der populären Open-Source-Plattform Rocket.Chat wurde eine kritische API-Sicherheitslücke entdeckt. Die als CVE-2026-23477 gekennzeichnete Schwachstelle mit einem hohen CVSS-Score von 7,7 offenbart vertrauliche OAuth-Anwendungsdaten. Angreifer könnten so Integrationen kapern und an Unternehmensgeheimnisse gelangen. Die Dringlichkeit zum Patchen ist hoch.

OAuth-Schlüssel für jeden Nutzer sichtbar

Die Lücke, Mitte Januar 2026 identifiziert, steckt in einer spezifischen API-Schnittstelle von Rocket.Chat. Laut dem US-amerikanischen National Vulnerability Database (NVD) und Sicherheitsfirmen fehlen hier grundlegende Berechtigungsprüfungen. In betroffenen Versionen bis einschließlich 6.12.0 kann jeder authentifizierte Nutzer – auch ohne Admin-Rechte – auf den Endpunkt /api/v1/oauth-apps.get zugreifen.

Anzeige

API-Schwachstellen wie die jetzt veröffentlichte CVE-2026-23477 machen Unternehmensdaten extrem verwundbar – vor allem wenn OAuth-Client-IDs und -Secrets offengelegt werden. Ein kostenloses E‑Book zu Cyber-Security-Trends erklärt, welche Angriffsvektoren aktuell besonders akut sind und welche sofort umsetzbaren Maßnahmen IT-Teams jetzt ergreifen sollten (Patching, Überwachung kritischer Endpunkte, Key-Rotation). Jetzt kostenlosen Cyber-Security-Report herunterladen

Das fatale Ergebnis: Es werden die sensiblen Felder client_id und client_secret ausgelesen. Diese Schlüssel sind das Herzstück für Drittanbieter-Integrationen, etwa mit Cloud-Diensten oder Projektmanagement-Tools. Der client_secret sollte eigentlich nur der Anwendung selbst bekannt sein. Seine Offenlegung durchbricht das Sicherheitsmodell des OAuth-Protokolls fundamental.

„Es handelt sich um ein klassisches Beispiel für fehlende Autorisierung“, heißt es in einem Bericht der Threat-Intelligence-Firma CYFIRMA vom 23. Januar 2026. Die Schwachstelle erlaubt es Angreifern, aus der Ferne auf potenziell sensible Informationen zuzugreifen – ohne besondere Berechtigungen.

Einfacher Angriff, schwerwiegende Folgen

Die niedrige Angriffskomplexität macht die Lücke besonders gefährlich. Ein kompromittiertes Standard-Benutzerkonto oder eine Insider-Bedrohung reichen aus, um die Schlüssel zu stehlen. Was können Angreifer mit diesen Daten anstellen?

  • Impersonation vertrauenswürdiger Apps: Sie können sich als legitime Integration ausgeben, um weitere Berechtigungen zu erschleichen.
  • Abfangen sensibler Daten: Hat die kompromittierte App Lesezugriff, lassen sich Nachrichten und Dateien abgreifen.
  • Gezielte Phishing-Angriffe: Mit echten Anmeldedaten wirken betrügerische Nachrichten besonders glaubwürdig.

Die Plattform dient in vielen Unternehmen als zentrale Schaltstelle für die interne Kommunikation. Die hier ausgetauschten Informationen – von Passwörtern in privaten Chats bis zu vertraulichen Projektdateien – sind für Cyberkriminelle von enormem Wert. Eine Lücke, die die angeschlossenen Apps kompromittiert, vervielfacht das Risiko.

So müssen Unternehmen jetzt handeln

Der Hersteller hat das Problem in Version 6.12.0 und allen neueren Releases behoben. Die Aufforderung an IT-Administratoren ist eindeutig:

  1. Systeme sofort aktualisieren: Alle Rocket.Chat-Instanzen müssen auf die neueste stabile Version gepatcht werden.
  2. OAuth-Schlüssel neu generieren: Als Vorsichtsmaßnahme sollten die client_secret-Keys für alle integrierten OAuth-Anwendungen umgehend ausgetauscht werden. So werden eventuell bereits gestohlene Schlüssel wertlos.
  3. Zugriffsprotokolle prüfen: Die Logs sollten auf ungewöhnliche Aktivitäten am kritischen API-Endpunkt – besonders von Nicht-Administratoren – untersucht werden.

Der Vorfall unterstreicht eine anhaltende Schwachstelle in der IT-Sicherheit: unzureichend geschützte Programmierschnittstellen (APIs). Die OWASP-Liste der größten API-Bedrohungen führt „fehlerhafte Autorisierung auf Funktionsebene“ seit langem an. CVE-2026-23477 ist ein Lehrbuchbeispiel dafür.

API-Sicherheit wird 2026 zum entscheidenden Faktor

Die Enthüllung der Rocket.Chat-Lücke fällt in eine angespannte globale Bedrohungslage. Ransomware-Gruppen wie Qilin suchen permanent nach solchen ungepatchten Schwachstellen in Collaboration-Tools, um in Unternehmensnetzwerke einzudringen.

Zwar gibt es keinen direkten Beleg, dass Qilin diese spezielle Lücke ausnutzt. Doch die Kombination aus leicht ausbeutbaren API-Fehlern und den Fähigkeiten professioneller Hacker-Gruppen schafft ein gefährliches Umfeld. Die Integration immer weiterer Tools in Kommunikationsplattformen vergrößert die Angriffsfläche stetig.

Die Branche erwartet für 2026 einen noch strengeren Fokus auf das Prinzip „Security by Design“ und automatisierte Sicherheitstests für Open-Source-Projekte. Für Rocket.Chat-Nutzer bleibt die Priorität jedoch ganz konkret: Patchen heute, um Datenverlust morgen zu verhindern.

Anzeige

PS: Solche API-Fehler sind ein Einfallstor für Ransomware und gezielte Phishing-Angriffe. Der Gratis-Leitfaden zeigt in klaren Schritten, wie Sie Collaboration-Tools absichern, OAuth-Schlüssel sicher verwalten und verdächtige API-Zugriffe frühzeitig erkennen. Ideal für IT-Verantwortliche, die schnell Risikofelder schließen wollen. Gratis-Leitfaden: Cyber-Security-Maßnahmen für Unternehmen anfordern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.