Am 25. Februar 2026 wurde eine ernste Schwachstelle im JavaScript-Bundler rollup veröffentlicht. Betroffen sind alle Versionen unter 2.80.0, 3.30.0 bzw. 4.59.0 – je nach eingesetztem Versionszweig. Der CVSS-Score liegt bei 8.5 (hoch), ein Proof-of-Concept-Exploit existiert bereits.
Die Lücke steckt in der Bundle-Klasse, die für die Verarbeitung von Ausgabedateinamen zuständig ist. Angreifer können über manipulierte Dateinamen mit ../-Sequenzen aus dem vorgesehenen Verzeichnis ausbrechen und beliebige Dateien auf dem Host-Dateisystem überschreiben oder auslesen – etwa Konfigurationsdateien oder SSH-Schlüssel. Der Angriff ist über CLI-Eingaben, Chunk-Aliase oder manipulierte Plugins möglich und erfordert keine Authentifizierung. Das macht ihn besonders gefährlich in CI/CD-Umgebungen, wo rollup automatisiert mit externen Eingaben aufgerufen wird.
Bin ich betroffen? Wer rollup in einem Projekt einsetzt, kann die installierte Version schnell prüfen: npm list rollup oder ein Blick in die package.json bzw. package-lock.json genügt. Auch indirekte Abhängigkeiten sollten gecheckt werden – Tools wie npm audit oder Snyk zeigen das automatisch an.
Empfehlung: Sofortiges Update auf rollup 2.80.0, 3.30.0 oder 4.59.0. Das ist der einzige wirksame Fix. Wer das Update nicht sofort einspielen kann, sollte zumindest sicherstellen, dass keine nicht vertrauenswürdigen Eingaben an rollup weitergereicht werden – insbesondere keine externen Plugins oder Dateinamen aus Nutzereingaben.
Weitere Details und die offiziellen Commits gibt es direkt bei Snyk.
