PHP-Sicherheit: BSI warnt vor kritischen Lücken mit CVSS 8,6

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine aktualisierte Sicherheitswarnung zu mehreren kritischen Schwachstellen in PHP herausgegeben. Die am 2. Juni veröffentlichte Warnung stuft die Risiken als hoch ein – mit potenziell verheerenden Folgen für Unternehmen und Webinfrastrukturen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen

Gefährliche Schwachstellen mit hohem Risikopotenzial

Die entdeckten PHP-Lücken erreichen einen CVSS-Wert von 8,6 – das liegt nur knapp unterhalb der höchsten Gefahrenstufe. Angreifer können die Schwachstellen aus der Ferne ausnutzen und beliebigen Code auf betroffenen Systemen ausführen. Doch damit nicht genug: Die Sicherheitslücken öffnen auch Tür und Tor für SQL-Injection-Angriffe, Cross-Site-Scripting (XSS) und Denial-of-Service-Attacken.

Betroffen sind Open-Source-PHP-Versionen vor 8.2.31, 8.3.31, 8.4.21 und 8.5.6. Auch spezialisierte Distributionen wie Zend PHP sowie Verwaltungsplattformen wie cPanel/WHM sind verwundbar. Die identifizierten Schwachstellen tragen die CVE-Kennungen CVE-2025-14179, CVE-2026-6104, CVE-2026-6722, CVE-2026-6735 sowie eine ganze Serie weiterer von CVE-2026-7258 bis CVE-2026-7568.

Bereits am 2. Juni veröffentlichte Ubuntu ein kritisches Sicherheitsupdate (USN-8336-1) für seine LTS-Versionen und aktuellen Releases. Die Sicherheitsforscher Aleksey Solovev und Nikita Sveshnikov hatten mehrere der zugrundeliegenden Schwachstellen entdeckt – darunter eine SQL-Injection-Lücke in PDO Firebird und ein Code-Ausführungsrisiko in SOAP.

Angriffswelle auf die PHP-Infrastruktur

Die PHP-Community steht zusätzlich unter Druck durch gezielte Supply-Chain-Angriffe der vergangenen Wochen. Am 22. und 23. Mai traf es die Laravel-Lang-Organisation: Über 700 Git-Tags wurden manipuliert, um einen Credential-Stealer einzuschleusen, der sich über Autoload automatisch aktiviert.

Der Schadcode zielte darauf ab, Cloud-Zugangsdaten für AWS, Azure und Google Cloud Platform (GCP) zu stehlen – ebenso wie Daten aus Browserprofilen und Passwortmanagern wie 1Password, Bitwarden und KeePass. Die gestohlenen Informationen wurden mit AES-256 verschlüsselt an einen Command-and-Control-Server übermittelt.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book jetzt herunterladen

Ein weiterer Vorfall namens „Miasma“ wurde am 29. Mai bekannt. Dabei handelte es sich um 96 bösartige Versionen von npm-Paketen im Zusammenhang mit Red Hat. Die Attacke, eine Variante des Shai-Hulud-Wurms, ging offenbar von einem kompromittierten Mitarbeiterkonto aus und versuchte, GitHub-Tokens und SSH-Schlüssel zu stehlen.

Breitere Bedrohungslage und Schutzmaßnahmen

Die BSI-Warnung vom 2. Juni war Teil einer ganzen Welle von Sicherheitshinweisen. Die Behörde meldete zeitgleich auch hochriskante Schwachstellen im Linux-Kernel, in GnuTLS und OpenSSH. Die Kernel-Lücken (CVSS 7.8) erlauben zwar keine Remote-Angriffe, könnten aber zur lokalen Privilegienausweitung oder zu Denial-of-Service-Attacken führen.

Auch die US-Cybersicherheitsbehörde CISA schlug Alarm: Am 1. Juni wurde eine Schwachstelle in Oracle WebLogic Server in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Unternehmen haben nur ein kurzes Zeitfenster, um die notwendigen Patches einzuspielen.

So schützen sich Unternehmen

Sicherheitsexperten empfehlen angesichts dieser Bedrohungslage mehrere strukturelle Maßnahmen:

• Prinzip der geringsten Privilegien und Netzwerksegmentierung umsetzen
• DevSecOps-Praktiken und automatisierte Bedrohungsprävention einführen
• Agentische KI für autonomes Risikomanagement nutzen
• Zugangsdaten regelmäßig rotieren und Systeme nach Verdachtsfällen isolieren

Die europäische Cybersicherheitsbehörde ENISA zeigt, wie dringlich das Problem ist: Rund 62 Prozent der Unternehmen erlitten 2025 Kompromittierungen über Drittanbieter. Die aktuelle PHP-Krise ist damit nur die Spitze des Eisbergs in einer zunehmend vernetzten Bedrohungslandschaft.

de | wirtschaft | 69482443 |