Kritische Sicherheitslücke in Ruby-Template-Bibliothek ERB (CVE-2026-41316)
Schwachstelle ermöglicht Remote Code Execution durch Umgehung von Deserialisierungsschutz
L'essentiel
- Eine Schwachstelle in der Ruby-Bibliothek ERB (CVE-2026-41316) hebelt den Schutz gegen schädliche Deserialisierung aus.
- Angreifer können dies bei betroffenen Rails-Anwendungen für Remote Code Execution nutzen, sofern weitere Fehlkonfigurationen vorliegen.
Résumé généré par IA
Pourquoi c'est important
ERB ist die Standard-Template-Engine von Ruby, während Marshal das native Binärformat für die Serialisierung von Objekten darstellt. Die Kombination von unsicherer Deserialisierung und Gadget-Chains ist ein bekanntes Risiko in der Ruby-Entwicklung.
Die unter CVE-2026-41316 (CERT-Bund: WID-SEC-2026-1187) registrierte Schwachstelle in Rubys Standard-Template-Bibliothek ERB hebelt den eingebauten Schutz gegen schädliche Deserialisierung aus. Besonders Rails-Anwendungen sind betroffen, die Daten einer Marshal-Serialisierung aus unsicheren Quellen verarbeiten. Mögliche Folge: Remote Code Execution.
Das Ruby-Team hat die Sicherheitslücke am 21. April 2026 veröffentlicht und gleichzeitig einen Fix bereitgestellt. Der Fehler umgeht einen in ERB fest eingebauten Schutzmechanismus gegen schädliche Deserialisierung. Über eine sogenannte Gadget-Chain können Angreifer die Lücke zu Remote Code Execution (RCE) auf dem Server ausnutzen. Entdeckt und gemeldet hat die Schwachstelle TristanInSec.
GitHub vergibt für die Lücke einen CVSS-3.1-Score von 8.1 (High), CERT-Bund stuft sie als kritisch ein. Der Unterschied spiegelt die jeweilige Bewertungslogik wider: CVSS berücksichtigt die erschwerende Komplexität für die Ausnutzung (Metrik AC:H), weil die Lücke zusätzliche Voraussetzungen aufseiten der Anwendung benötigt. CERT-Bund orientiert sich stärker am Schadenspotenzial im Erfolgsfall, also an der möglichen RCE-Wirkung.
Das GitHub Security Advisory enthält neben der technischen Beschreibung einen funktionierenden Proof-of-Concept, der die Ausnutzung mit wenigen Zeilen Ruby-Code demonstriert.
Verwundbar sind alle Versionen des erb-Gems bis einschließlich 6.0.3. Damit liefert faktisch jede aktuelle Rails-Installation eine verwundbare ERB-Version mit. Tatsächlich angreifbar ist eine Anwendung aber nur, wenn beide folgenden Bedingungen zutreffen: Die Anwendung ruft an irgendeiner Stelle mit Marshal.load Daten auf, die ein Angreifer unter Kontrolle hat, und zur Laufzeit ist neben ERB auch ActiveSupport geladen.
Ein erfolgreicher Angriff beschert dem Täter vollständige Code-Ausführung im Kontext des Ruby-Prozesses. Typische Szenarien reichen vom Auslesen sensibler Daten über das Platzieren von Backdoors bis zur vollständigen Übernahme der Anwendung.
Zur Behebung sollten Entwickler das Gem aktualisieren (bundle update erb). Gepatchte Versionen sind 4.0.3.1, 4.0.4.1, 6.0.1.1 sowie 6.0.4. Zudem sollten alle Aufrufe von Marshal.load identifiziert und auf unsichere Datenquellen geprüft werden.
À surveiller
Perspective IA — des possibilités, pas des certitudes
Zunahme von Sicherheits-Scans durch Angreifer zur Identifizierung verwundbarer Endpunkte.
Probable · En quelques jours
Verstärkte Migration von Marshal zu sichereren Formaten wie JSON in Rails-Projekten.
Possible · En quelques mois
Questions ouvertes
- Wie viele Systeme sind aktuell noch mit ungepatchten Versionen aktiv?
- Gibt es bereits Berichte über aktive Ausnutzung der Lücke in freier Wildbahn?



