Kritische PHP-Lücken ermöglichen Remote Code Execution
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor mehreren kritischen Schwachstellen in PHP. Diese ermöglichen es Angreifern, beliebigen Code auf betroffenen Servern auszuführen – ohne dass eine Authentifizierung erforderlich ist.
Risikobewertung: Die Schwachstellen (CVE-2025-14179, CVE-2026-6722, CVE-2026-7261) werden als KRITISCH eingestuft. Sie betreffen potenziell alle webgestützten Anwendungen, die auf PHP basieren – darunter verbreitete Systeme wie Drupal, Laravel und Geoserver. Das Exploitationsrisiko ist hoch, da die Lücken über das Netzwerk ohne spezielle Berechtigungen ausgenutzt werden können.
Was ist zu tun?
- Identifizieren Sie sofort, welche PHP-Versionen in Ihrer Infrastruktur laufen
- Warten Sie auf offizielle Sicherheitsupdates und spielen Sie diese innerhalb von 24 Stunden ein
- Aktivieren Sie Ihre Web Application Firewall (WAF) als Zwischenschutz
- Deaktivieren Sie die PHP-Ausführung in Upload-Verzeichnissen
- Überprüfen Sie Ihre Server-Logs auf verdächtige Zugriffsmuster
Handeln Sie schnell: Diese Lücken werden aktiv ausgenutzt.
Quelle: DFN-CERT Advisory 2026-3162 · Risikostufe: KRITISCH · Generiert am 07.07.2026