software-wartung24.de
· 6 Min. Lesezeit· Sandor Farkas

CVE-2026-45070 & Co.: Was die aktuellen PHP-Sicherheitslücken bedeuten

SicherheitPHPCVESicherheitslücken
CVE-2026-45070 & Co.: Was die aktuellen PHP-Sicherheitslücken bedeuten

Im Frühjahr 2026 wurden mehrere kritische Sicherheitslücken in PHP veröffentlicht. Darunter CVE-2026-45070, CVE-2026-45067 und CVE-2026-45068. Für Betreiber älterer PHP-Anwendungen sind das keine abstrakten Nummern. Sie sind ein konkreter Handlungsauftrag.

Dieser Artikel erklärt, was hinter diesen CVEs steckt, welche PHP-Versionen betroffen sind und was Sie jetzt tun sollten. Ohne Fachchinesisch, aber mit dem nötigen Ernst.

Was ist ein CVE?

CVE steht für "Common Vulnerabilities and Exposures" (auf Deutsch: bekannte Sicherheitslücken und Schwachstellen). Es handelt sich um ein öffentliches, internationales Register, in dem Sicherheitslücken in Software dokumentiert werden.

Jeder Eintrag bekommt eine eindeutige Nummer, etwa CVE-2026-45070. Diese Nummer enthält das Jahr der Entdeckung und eine laufende Kennung. Neben der Nummer enthält ein CVE-Eintrag eine Beschreibung der Lücke, eine Risikoeinschätzung und oft auch Hinweise auf Patches oder Workarounds.

Das Wichtige: CVE-Einträge sind öffentlich zugänglich. Jeder kann sie lesen. Das hilft Sicherheitsteams bei der Priorisierung. Es hilft aber auch Angreifern, gezielte Schwachstellen zu finden.

Was bedeuten CVE-2026-45070, CVE-2026-45067 und CVE-2026-45068 konkret?

Die drei im Frühjahr 2026 bekanntgewordenen CVEs betreffen unterschiedliche Bereiche von PHP.

CVE-2026-45070 wurde als kritisch eingestuft. Die Lücke ermöglicht es unter bestimmten Umständen, schadhaften Code auf dem Server auszuführen. Fachleute sprechen von "Remote Code Execution". Das ist eine der gefährlichsten Klassen von Sicherheitslücken.

CVE-2026-45067 betrifft die Verarbeitung von Benutzereingaben. Angreifer können unter bestimmten Bedingungen auf Daten zugreifen, die nicht für sie bestimmt sind. Solche Lücken werden häufig genutzt, um Daten abzugreifen oder Zugangsdaten zu stehlen.

CVE-2026-45068 ist eine Schwachstelle in der Speicherverwaltung. Sie lässt sich ausnutzen, um Anwendungen zum Absturz zu bringen oder das Systemverhalten gezielt zu manipulieren.

Alle drei Lücken wurden für aktuelle PHP-Versionen (PHP 8.2 und PHP 8.3) inzwischen durch Patches geschlossen. Für PHP 7 und älter gibt es keine Korrekturen.

Welche PHP-Versionen sind betroffen?

Hier liegt das eigentliche Problem. Die Lücken betreffen grundlegende Teile der PHP-Laufzeitumgebung. Das bedeutet: Jede Anwendung, die auf einer verwundbaren PHP-Version läuft, ist potenziell angreifbar.

Folgende Versionen erhalten keine Patches mehr:

PHP 7.4 ist seit November 2022 End of Life. Sicherheitslücken werden nicht mehr behoben.

PHP 7.3 und älter sind seit noch längerer Zeit ohne Support.

PHP 8.0 und PHP 8.1 erhalten ebenfalls keine Sicherheitsupdates mehr.

Nur PHP 8.2 und PHP 8.3 sind derzeit aktiv gepflegt. Für diese Versionen stehen Patches für alle drei genannten CVEs bereit.

Wenn Sie nicht wissen, welche PHP-Version Ihre Anwendung verwendet, ist das ein wichtiger erster Schritt. Ihr Hoster oder ein technischer Ansprechpartner kann das in wenigen Minuten klären.

Warum sind gerade ältere PHP-Anwendungen besonders gefährdet?

Angreifer arbeiten systematisch. Sie suchen nicht gezielt nach einer bestimmten Firma. Sie scannen automatisiert das gesamte Internet nach bekannten Schwachstellen. Eine ungepatchte PHP-Anwendung auf einem öffentlich erreichbaren Server ist ein dokumentiertes Angriffsziel.

Bei neueren Systemen werden Patches schnell eingespielt. Systemadministratoren reagieren auf Sicherheitsmeldungen. Bei Legacy-Systemen ist das oft anders.

Viele ältere Webanwendungen laufen seit Jahren ohne aktive Betreuung. Der ursprüngliche Entwickler ist nicht mehr erreichbar. Die interne Zuständigkeit ist unklar. Updates werden aufgeschoben, weil niemand sicher ist, ob ein Update die Anwendung beschädigen könnte.

Das führt zu einer gefährlichen Situation: Die technischen Schulden häufen sich an, und gleichzeitig wächst die Angriffsfläche.

Was passiert wenn man nichts tut?

Das ist keine theoretische Frage. Bereits kurze Zeit nach Veröffentlichung eines CVE beginnen automatisierte Scans, verwundbare Systeme zu identifizieren. Das dauert in der Regel keine Tage, sondern Stunden.

Was Angreifer dann tun können, hängt von der konkreten Lücke ab. Im schlimmsten Fall wird Schadcode auf Ihrem Server installiert. Kundendaten können abfließen. Transaktionen können manipuliert werden. Ihre Website kann für andere Angriffe missbraucht werden.

Aber auch weniger dramatische Szenarien haben Konsequenzen. Ein Datenschutzvorfall nach der DSGVO (Datenschutz-Grundverordnung) kann zu Bußgeldern führen. Kunden verlieren das Vertrauen. Geschäftspartner stellen Fragen. Die Aufarbeitung eines Vorfalls ist in der Regel teurer als die Prävention.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, kritische Sicherheitslücken binnen 24 bis 72 Stunden zu adressieren, sofern Patches verfügbar sind.

Was können Sie jetzt konkret tun?

Der erste Schritt ist Klarheit. Wissen Sie, welche PHP-Version Ihre Anwendung nutzt? Wenn nicht, ist das die wichtigste Frage für heute.

Läuft Ihre Anwendung auf PHP 8.2 oder 8.3, sollten Sie prüfen, ob die aktuellen Patches eingespielt sind. Das ist in der Regel eine Aufgabe für Ihren Hoster oder Systemadministrator.

Läuft Ihre Anwendung auf PHP 7 oder einer älteren 8er-Version, gibt es keine Patches. Hier führt kein Weg an einem PHP-Upgrade vorbei.

Sofortmaßnahmen wenn ein Upgrade noch nicht möglich ist

Ein vollständiges PHP-Upgrade braucht Planung. Das ist keine Arbeit für einen Nachmittag. Wenn das Upgrade Zeit benötigt, gibt es überbrückende Maßnahmen.

Eine Web Application Firewall (WAF) kann bekannte Angriffsmuster filtern, bevor sie die Anwendung erreichen. Das ist kein vollständiger Schutz, aber eine sinnvolle Zwischenlösung.

Zugriffsprotokolle sollten aktiv beobachtet werden. Ungewöhnliche Zugriffsmuster sind oft frühe Hinweise auf laufende Angriffe.

Datenbankzugriffe sollten auf das Minimum beschränkt sein. Viele ältere Anwendungen laufen mit Datenbanknutzern die mehr Rechte haben als nötig.

Ein strukturierter Upgrade-Plan

Ein PHP-Upgrade beginnt mit einer Bestandsaufnahme. Welche Funktionen nutzt die Anwendung? Welche externen Bibliotheken sind eingebunden? Welche Teile des Codes sind inkompatibel mit neueren PHP-Versionen?

Danach folgt eine Testphase. Kein Upgrade direkt in der Produktion. Eine separate Testumgebung zeigt, was nach dem Upgrade noch funktioniert und was angepasst werden muss.

Erst wenn die Tests abgeschlossen sind und alles wie erwartet läuft, wechselt man in der Produktion auf die neue Version.

Dieser Prozess dauert je nach System zwischen wenigen Tagen und mehreren Wochen. Was die Dauer bestimmt, ist der Zustand des Codes, die Verfügbarkeit von Tests und Dokumentation sowie die Anzahl der externen Abhängigkeiten.

Wie ernst sollte man CVE-Meldungen nehmen?

Die Antwort ist einfach: ernst, aber nicht in Panik. CVE-Meldungen sind Teil eines funktionierenden Sicherheitssystems. Sie zeigen, dass die Gemeinschaft der Sicherheitsforscher aktiv ist und Probleme transparent kommuniziert.

Nicht jede Lücke ist sofort ausnutzbar. Nicht jedes System ist exponiert. Aber eine öffentlich bekannte, kritische Lücke in einer verbreiteten Sprache wie PHP ist ein Signal, das man nicht ignorieren sollte.

Die Frage ist nicht ob ein verwundbares System irgendwann angegriffen wird. Die Frage ist wann. Das ist keine Dramatik, das ist Statistik.

Fazit: Bekannte Lücken sind keine akzeptablen Risiken

CVE-2026-45070, CVE-2026-45067 und CVE-2026-45068 zeigen erneut: Sicherheitslücken in PHP sind real, und sie treffen besonders hart, wo keine aktuellen Patches verfügbar sind. Wer auf ungepflegten PHP-Versionen läuft, betreibt Software mit dokumentierten und offenen Schwachstellen.

Das lässt sich ändern. Ein Software-Wartungsvertrag stellt sicher, dass Patches eingespielt und Sicherheitsmeldungen beobachtet werden. Ein PHP-Upgrade bringt Ihre Anwendung auf eine Version, die heute und morgen noch aktiv gepflegt wird.

Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir schauen uns Ihr System an und sagen Ihnen ehrlich, wo Sie stehen.

Weitere Artikel

Alte Symfony-Version updaten: Von Symfony 2/3 auf die aktuelle LTS
· 6 Min. Lesezeit

Alte Symfony-Version updaten: Von Symfony 2/3 auf die aktuelle LTS

Symfony 2 und 3 erhalten keine Sicherheits-Updates mehr. Ein symfony update alte version ist überfällig. Dieser Artikel erklärt die typischen Stolpersteine, den realistischen Weg zur aktuellen LTS und warum jeder weitere Monat das Risiko erhöht.

CMS & FrameworksSymfonyEnd of Life
Symfony für Legacy-Projekte: Wann sich der Umstieg wirklich lohnt
· 7 Min. Lesezeit

Symfony für Legacy-Projekte: Wann sich der Umstieg wirklich lohnt

Symfony ist ein robustes PHP-Framework. Aber lohnt sich der Umstieg von einer selbstgebauten Altanwendung? Dieser Artikel erklärt, wann Symfony die richtige Wahl ist und wann Sie besser bleiben wo Sie sind.

CMS & FrameworksPHPModernisierung
Software-Audit: Was er kostet und wann er sich wirklich lohnt
· 5 Min. Lesezeit

Software-Audit: Was er kostet und wann er sich wirklich lohnt

Ein Softwareaudit verschafft Klarheit über den Zustand Ihrer Anwendung. Dieser Artikel erklärt was ein Audit kostet, was Sie dafür bekommen und in welchen Situationen er sich wirklich lohnt.

SicherheitKosten & PlanungSoftware-Audit

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen