Kritische Sicherheitslücke in Laravel Reverb: Remote Code Execution durch unsichere Deserialisierung

Table of Contents

Betroffene Versionen: Laravel Reverb < 1.7.0
Schweregrad: Kritisch (CVSS 9.8)
CVE: CVE-2026-23524

In Laravel Reverb wurde eine kritische Sicherheitslücke entdeckt, die Remote Code Execution (RCE) ermöglicht. Die Schwachstelle betrifft ausschließlich Installationen mit aktiviertem Horizontal Scaling (REVERB_SCALING_ENABLED=true).

Bei aktiviertem Horizontal Scaling kommunizieren Reverb-Server über Redis PubSub. Reverb hat dabei Daten aus dem Redis-Channel direkt an PHPs unserialize()-Funktion übergeben, ohne zu kontrollieren, welche Klassen instanziiert werden dürfen. Dies ermöglicht Angreifern das Einschleusen manipulierter serialisierter Objekte, die zur Ausführung beliebigen Codes führen können.

Die Gefahr wird dadurch erhöht, dass Redis-Server häufig ohne Authentifizierung betrieben werden.

Sie sind betroffen, wenn:

  • Laravel Reverb in einer Version < 1.7.0 eingesetzt wird
  • UND die Umgebungsvariable REVERB_SCALING_ENABLED=true gesetzt ist
  • UND Ihr Redis-Server über das Netzwerk erreichbar ist

So prüfen Sie:

  1. Überprüfen Sie Ihre composer.json oder führen Sie composer show laravel/reverb aus
  2. Kontrollieren Sie Ihre .env-Datei auf REVERB_SCALING_ENABLED=true
  3. Prüfen Sie die Redis-Konfiguration auf fehlende Authentifizierung

Empfohlene Maßnahmen

  • Aktualisieren Sie auf Laravel Reverb v1.7.0: composer update laravel/reverb

Temporäre Absicherung (falls Update nicht möglich):

  1. Redis absichern: Setzen Sie ein starkes Passwort für Redis und beschränken Sie den Zugriff auf private Netzwerke oder localhost
  2. Scaling deaktivieren: Falls Sie nur einen Reverb-Node verwenden, setzen Sie REVERB_SCALING_ENABLED=false

Quelle: GitHub Security Advisory GHSA-m27r-m6rx-mhm4

Related Posts

glob CLI erlaubt Command Injection über -c/--cmd-Option

Im npm-Paket glob wurde eine schwerwiegende Command-Injection-Schwachstelle in der Kommandozeilenoberfläche entdeckt. Betroffen sind die Versionen >= 10.2.0 bis < 10.5.0 sowie 11.0.x. Die Lücke ist unter CVE-2025-64756 registriert und wird mit hohem Schweregrad (CVSS 8.8) bewertet.

Read More

Modular DS schließt kritische Privilege-Escalation-Lücke im Modular Connector

Modular DS hat Sicherheitsupdates für den Modular Connector veröffentlicht. Die Versionen 2.5.2 (14. Januar 2026) und 2.6.0 (16. Januar 2026) beheben eine kritische Schwachstelle, die im Rahmen der Untersuchung eines Sicherheitsvorfalls vom 14. Januar identifiziert wurde. Die Lücke ist als CVE-2026-23550 registriert und wird mit dem maximalen CVSS-Score von 10.0 bewertet.

Read More

PoC für Fortinet FortiSIEM RCE veröffentlicht: CVE-2025-64155 aktiv ausnutzbar

Für die kritische Schwachstelle CVE-2025-64155 in Fortinet FortiSIEM wurde ein öffentlich verfügbarer Proof of Concept veröffentlicht. Die Lücke ermöglicht über eine Argument-Injection die Remote-Code-Ausführung mit Root-Rechten und wird von Sicherheitsforschern von Horizon3.ai als seit Jahren ausnutzbar beschrieben.

Read More