Kritische Sicherheitslücke in Firebird-Datenbanken entdeckt
Entwickler schließen neun Schwachstellen, darunter eine kritische Lücke mit dem CVSS-Score 10
Quick Look
Die Entwickler der Firebird-Datenbank haben neun Sicherheitslücken geschlossen, darunter eine kritische Schwachstelle (CVE-2026-40342) mit dem maximalen CVSS-Score von 10, die eine vollständige Systemkompromittierung ermöglichen kann.
AI-generated summary
Why It Matters
Firebird ist ein relationales Datenbanksystem, das auf verschiedenen Betriebssystemen eingesetzt wird. Die aktuellen Sicherheitsupdates adressieren Schwachstellen, die unter anderem Path-Traversal-Angriffe ermöglichen.
Admins von Firebird-Instanzen sollten aus Sicherheitsgründen zeitnah die verfügbaren Sicherheitspatches installieren. Geschieht das nicht, können Angreifer Abstürze auslösen oder Systeme sogar nach der Ausführung von Schadcode vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Wie aus dem Sicherheitsbereich der GitHub-Website des Projektes hervorgeht, haben die Entwickler insgesamt neun Sicherheitslücken geschlossen. Eine davon gilt als „kritisch“ und sie ist mit dem maximalen CVSS Score 10 von 10 eingestuft (CVE-2026-40342). Davon sind die Plattformen Linux, macOS und Windows betroffen. Damit Angreifer an der Lücke ansetzen können, müssen sie aber Zugriff auf den folgenden Befehl haben: An dieser Stelle ist CREATE FUNCTION ... ENGINE "<name>" nicht ausreichend gehärtet und Angreifer können damit eine Bibliothek außerhalb des Plug-in-Ordners laden (Path-Traversal-Attacke). Das dürfte eigentlich nicht möglich sein. Weil Firebird den Initialisierungscode nicht ausreichend überprüft, können Angreifer so Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer im Anschluss die volle Kontrolle über Computer erlangen.
Die verbleibenden Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. An diese Stellen sind DoS- und weitere Schadcode-Attacken möglich (etwa CVE-2026-28224, CVE-2026-33337).
Die Entwickler versichern, die Lücken in den Ausgaben 3.0.14, 4.0.7, 5.0.4 und 6.0 geschlossen zu haben. Welche Versionen konkret bedroht sind, können Admins in den auf der GitHub-Seite verlinkten Warnmeldungen nachschauen.
What to Watch
AI outlook — possibilities, not facts
Administratoren werden die Updates in den kommenden Tagen einspielen.
Very likely · Within days
Open Questions
- Gibt es bereits Anzeichen für eine aktive Ausnutzung der Lücken in der freien Wildbahn?





