Eilmeldung
ITSparatoria in un liceo in Baviera: arrestato 16enne, due ragazze feriteINTLTwo Girls Seriously Injured in Suspected Attack at German High SchoolARترامب يهدد إيران بضربات جديدة بعد انتهاء الهدنةARربع النهائي: 8 منتخبات تتنافس على 4 مقاعد في نصف النهائيCN丹麦首相回应特朗普:格陵兰岛绝不出售PLDrony i Starlink zmieniają oblicze wojny w UkrainieDEMerz zufrieden mit Nato-Gipfel: "Europäische Trittbrettfahrerei vorbei"ARالأرجنتين تقلب تأخرها 0-2 إلى فوز 3-2 على مصر في كأس العالمARلوبان تعلن ترشحها للرئاسة الفرنسية رغم حكم قضائي بسوار مراقبةITInter, nuove intercettazioni sull'inchiesta arbitrale: coinvolto RocchiITSparatoria in un liceo in Baviera: arrestato 16enne, due ragazze feriteINTLTwo Girls Seriously Injured in Suspected Attack at German High SchoolARترامب يهدد إيران بضربات جديدة بعد انتهاء الهدنةARربع النهائي: 8 منتخبات تتنافس على 4 مقاعد في نصف النهائيCN丹麦首相回应特朗普:格陵兰岛绝不出售PLDrony i Starlink zmieniają oblicze wojny w UkrainieDEMerz zufrieden mit Nato-Gipfel: "Europäische Trittbrettfahrerei vorbei"ARالأرجنتين تقلب تأخرها 0-2 إلى فوز 3-2 على مصر في كأس العالمARلوبان تعلن ترشحها للرئاسة الفرنسية رغم حكم قضائي بسوار مراقبةITInter, nuove intercettazioni sull'inchiesta arbitrale: coinvolto Rocchi
Newsgather
BackKritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)
Kritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)
Dringend
Heise Online23.04.2026Technik5 dk okumaGermany

Kritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)

Schwachstelle ermöglicht Remote Code Execution durch Umgehung von Deserialisierungsschutz

Auf einen Blick

  • Eine Schwachstelle in der Ruby-Bibliothek ERB (CVE-2026-41316) hebelt den Schutz gegen schädliche Deserialisierung aus.
  • Angreifer können dies bei betroffenen Rails-Anwendungen für Remote Code Execution nutzen, sofern weitere Fehlkonfigurationen vorliegen.

KI-generierte Zusammenfassung

Warum es wichtig ist

ERB ist die Standard-Template-Engine von Ruby, während Marshal das native Binärformat für die Serialisierung von Objekten darstellt. Die Kombination von unsicherer Deserialisierung und Gadget-Chains ist ein bekanntes Risiko in der Ruby-Entwicklung.

Schriftgröße

Die unter CVE-2026-41316 (CERT-Bund: WID-SEC-2026-1187) registrierte Schwachstelle in Rubys Standard-Template-Bibliothek ERB hebelt den eingebauten Schutz gegen schädliche Deserialisierung aus. Besonders Rails-Anwendungen sind betroffen, die Daten einer Marshal-Serialisierung aus unsicheren Quellen verarbeiten. Mögliche Folge: Remote Code Execution.

Das Ruby-Team hat die Sicherheitslücke am 21. April 2026 veröffentlicht und gleichzeitig einen Fix bereitgestellt. Der Fehler umgeht einen in ERB fest eingebauten Schutzmechanismus gegen schädliche Deserialisierung. Über eine sogenannte Gadget-Chain können Angreifer die Lücke zu Remote Code Execution (RCE) auf dem Server ausnutzen. Entdeckt und gemeldet hat die Schwachstelle TristanInSec.

GitHub vergibt für die Lücke einen CVSS-3.1-Score von 8.1 (High), CERT-Bund stuft sie als kritisch ein. Der Unterschied spiegelt die jeweilige Bewertungslogik wider: CVSS berücksichtigt die erschwerende Komplexität für die Ausnutzung (Metrik AC:H), weil die Lücke zusätzliche Voraussetzungen aufseiten der Anwendung benötigt. CERT-Bund orientiert sich stärker am Schadenspotenzial im Erfolgsfall, also an der möglichen RCE-Wirkung.

Das GitHub Security Advisory enthält neben der technischen Beschreibung einen funktionierenden Proof-of-Concept, der die Ausnutzung mit wenigen Zeilen Ruby-Code demonstriert.

Verwundbar sind alle Versionen des erb-Gems bis einschließlich 6.0.3. Damit liefert faktisch jede aktuelle Rails-Installation eine verwundbare ERB-Version mit. Tatsächlich angreifbar ist eine Anwendung aber nur, wenn beide folgenden Bedingungen zutreffen: Die Anwendung ruft an irgendeiner Stelle mit Marshal.load Daten auf, die ein Angreifer unter Kontrolle hat, und zur Laufzeit ist neben ERB auch ActiveSupport geladen.

Ein erfolgreicher Angriff beschert dem Täter vollständige Code-Ausführung im Kontext des Ruby-Prozesses. Typische Szenarien reichen vom Auslesen sensibler Daten über das Platzieren von Backdoors bis zur vollständigen Übernahme der Anwendung.

Zur Behebung sollten Entwickler das Gem aktualisieren (bundle update erb). Gepatchte Versionen sind 4.0.3.1, 4.0.4.1, 6.0.1.1 sowie 6.0.4. Zudem sollten alle Aufrufe von Marshal.load identifiziert und auf unsichere Datenquellen geprüft werden.

Worauf zu achten ist

KI-Ausblick — Möglichkeiten, keine Fakten

  • Zunahme von Sicherheits-Scans durch Angreifer zur Identifizierung verwundbarer Endpunkte.

    Wahrscheinlich · Innerhalb von Tagen

  • Verstärkte Migration von Marshal zu sichereren Formaten wie JSON in Rails-Projekten.

    Möglich · Innerhalb von Monaten

Offene Fragen

  • Wie viele Systeme sind aktuell noch mit ungepatchten Versionen aktiv?
  • Gibt es bereits Berichte über aktive Ausnutzung der Lücke in freier Wildbahn?

Verwandte Themen

This article was originally published by Heise Online.

Ähnliche Meldungen

Assassin's Creed Black Flag Resynced: Lohnt sich das Piraten-Remake?
Technik·5 sa önce

Assassin's Creed Black Flag Resynced: Lohnt sich das Piraten-Remake?

Das "Assassin's Creed Black Flag"-Remake "Resynced" bietet eine überarbeitete Version des beliebten Piratenabenteuers mit neuen Inhalten und flüssigerer Technik. Es erzählt die Geschichte von Edward Kenway neu und integriert historische Figuren sowie Handlungsstränge nahtlos in die bekannte Konfliktlinie zwischen Assassinen und Templern. Das Spiel erscheint am 9. Juli für PS5, Xbox Series X/S und PC.

Handelsblatt
Mehr zu diesem Themaruby