Kritische ImageMagick-Lücke mit bekanntem Exploit

Am 23. Februar 2026 wurde CVE-2026-23876 veröffentlicht, eine Heap-Buffer-Overflow-Schwachstelle in ImageMagick, die mit CVSS 8.1 als hochgefährlich eingestuft wird. Besonders brisant: Ein funktionsfähiger Proof-of-Concept ist bereits öffentlich verfügbar, was die Angriffsschwelle erheblich senkt und schnelles Handeln notwendig macht.

Betroffen sind ImageMagick-Versionen ab 7.1.2-13 sowie ab 6.9.13-38. Die Lücke steckt im XBM-Bilddecoder (Funktion ReadXBMImage) und entsteht durch fehlerhafte Bereichsprüfung beim Verarbeiten von XBM-Dateien. Ein Angreifer kann eine manipulierte Bilddatei einschleusen, die den Decoder dazu bringt, über den zugewiesenen Speicherbereich hinaus zu schreiben – mit möglicher Folge von beliebiger Codeausführung im Kontext des ImageMagick-Prozesses. Das bedeutet im schlimmsten Fall vollständige Kompromittierung des verarbeitenden Systems, Datenverlust oder Absturz.

Bin ich betroffen? ImageMagick ist in sehr vielen Umgebungen versteckt: als Bildverarbeitungsbibliothek in WordPress-Plugins, PHP-Anwendungen, Ruby on Rails (via Paperclip/CarrierWave), Python-Pipelines und zahlreichen CMS. Mit convert --version oder magick --version lässt sich die installierte Version schnell prüfen. Wer Bilder automatisiert verarbeitet oder Upload-Funktionen anbietet, sollte das unbedingt tun.

Empfehlung: Sofort auf die gepatchte Version aktualisieren – unter Linux über den Paketmanager (apt upgrade imagemagick, dnf upgrade imagemagick), auf anderen Systemen direkt über die offizielle ImageMagick-Quelle. Bis zum Update empfiehlt sich, XBM-Dateien als Eingabeformat gezielt zu blockieren, sofern nicht benötigt. Upload-Schnittstellen sollten generell Dateitypen serverseitig validieren, nicht nur clientseitig.

Quellen: GitHub Advisory GHSA-r49w-jqq3-3gx8 · NVD CVE-2026-23876

Related Posts

Kritische Sicherheitslücke in Roundcube Webmail – sofortiges Update erforderlich

In Roundcube Webmail wurde eine schwerwiegende Schwachstelle (CVE-2025-49113) entdeckt, die es eingeloggten Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Die Lücke steckt in der Datei-Upload-Funktion, wo ein Parameter nicht korrekt geprüft wird – was sogenannte PHP Object Deserialization ermöglicht. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Lücken aufgenommen, was bedeutet: Sie wird in freier Wildbahn angegriffen.

Read More

KI-generierte Passwörter sind unsicher – auch wenn sie stark aussehen

Wer ChatGPT, Claude oder Gemini bittet, ein Passwort zu generieren, bekommt etwas, das sicher aussieht – aber es nicht ist. Sicherheitsforscher von Irregular Security haben das systematisch nachgewiesen: In 50 Testläufen produzierte Claude Opus 4.6 das Passwort G7$kL9#mQ2&xP4!w satte 18-mal. Klassische Passwort-Tools wie KeePass bewerten solche Passwörter mit ~100 Bit Entropie und damit als „exzellent" – tatsächlich liegt die reale Entropie laut Analyse bei nur etwa 27 Bit. Das ist der Unterschied zwischen „Milliarden Jahre zum Knacken" und „Sekunden mit einem Heimrechner".

Read More

Kritische Sicherheitslücken in Kubernetes Ingress NGINX Controller

Der Kubernetes Ingress NGINX Controller weist mehrere Schwachstellen auf, die mit einem CVSS-Score von 8.8 als hochkritisch eingestuft werden. Betroffen sind alle Versionen vor 1.13.7 und 1.14.3. Die Lücken ermöglichen authentisierten Angreifern Remote-Code-Execution, das Umgehen von Sicherheitsmaßnahmen, Informationsoffenlegung und Denial-of-Service-Angriffe.

Read More