- Die FreePBX "Triple-Chain" (Januar 2026)
- React2Shell (CVE-2025-55182)
- Taiga.io RCE (CVE-2025-62368)
- Magento "SessionReaper" (CVE-2025-54236)
- n8n Workflow RCE (CVE-2025-68613)
- Burp Suite Persistence
- Cacti Unauthenticated RCE (CVE-2025-24367)
- N-able N-Central Chaining (CVE-2025-9316 & 11700)
- Control Web Panel Injection (CVE-2025-67888)
- LoongArch64 & RISC-V Support
- Rechtliche Aspekte in Deutschland (StGB)
Wer dachte, das Metasploit-Framework würde im Jahr 2026 an Relevanz verlieren, wurde im Januar eines Besseren belehrt. Rapid7 hat das Jahr mit einer Offensive an neuen Modulen eröffnet, die sich deutlich auf komplexe Infrastruktur-Software und „Exploit-Chaining“ konzentrieren.
Anzeige
Statt isolierter Schwachstellen sehen wir vermehrt Angriffe, die mehrere Lücken kombinieren, um Firewalls und Authentifizierungen zu umgehen. Basierend auf den Release-Protokollen der letzten Wochen sind dies die 10 Updates, die jeder Pentester kennen muss.
Die FreePBX „Triple-Chain“ (Januar 2026)
Das aggressivste Update im Januar betrifft die weit verbreitete Telefonanlagen-Software FreePBX. Metasploit integrierte gleich drei Module, die aufeinander aufbauen.
- Der Schlüssel: Alles beginnt mit einem Authentication Bypass (CVE-2025-66039), der den Zugriff ohne Passwort ermöglicht.
- Der Hammer: Sobald die Authentifizierung umgangen ist, nutzt Metasploit automatisch entweder eine SQL-Injection (CVE-2025-61675), um Cronjobs zu manipulieren, oder einen Firmware File Upload (CVE-2025-61678) für eine direkte Webshell. Diese Automatisierung einer kompletten Angriffskette („Chaining“) ist ein Highlight der aktuellen Entwicklung.
React2Shell (CVE-2025-55182)
Bereits im Dezember angedeutet, hat sich der React2Shell-Exploit als eines der wichtigsten Werkzeuge etabliert. Es handelt sich um eine unauthentifizierte Remote Code Execution (RCE) im React-Ökosystem. Der Exploit nutzt eine Deserialisierungs-Lücke, um Code auszuführen. Metasploit liefert hierfür mittlerweile verfeinerte Payloads, die spezifisch für moderne Web-Stacks optimiert sind.
Taiga.io RCE (CVE-2025-62368)
Projektmanagement-Tools sind das neue Lieblingsziel für Lateral Movement. Am 7. Januar 2026 erhielt Metasploit ein Modul für Taiga.io. Der Exploit nutzt eine authentifizierte Deserialisierungs-Schwachstelle in der API. Da Taiga oft tief im internen Netz liegt und Zugriff auf Projektdaten gewährt, ist dieses Modul für Red Teamer Gold wert.
Magento „SessionReaper“ (CVE-2025-54236)
Für E-Commerce-Pentests ist dies das kritischste Update des Winters. Das Modul zielt auf Adobe Commerce und Magento und nutzt eine fehlerhafte Behandlung von verschachtelter Deserialisierung (Nested Deserialization) im Zahlungskontext. Das Ergebnis ist eine unauthentifizierte Code-Ausführung, die Angreifern volle Kontrolle über den Shop gibt.
Mehr Info hier: https://nvd.nist.gov/vuln/detail/CVE-2025-54236
n8n Workflow RCE (CVE-2025-68613)
Automatisierungstools sind mächtig – auch für Hacker. Das am 13. Januar 2026 veröffentlichte Modul für n8n erlaubt es authentifizierten Nutzern, bösartige Workflows zu erstellen, die Systembefehle via JavaScript ausführen. Da n8n oft Zugriff auf hunderte APIs und Services eines Unternehmens hat, ist ein Kompromiss hier fatal.
Burp Suite Persistence
Ein exotisches, aber geniales Modul wurde am 22. Januar 2026 hinzugefügt: Burp Extension Persistence. Es ermöglicht Angreifern, sich auf einem bereits kompromittierten Rechner eines Entwicklers oder Pentesters festzusetzen, indem eine bösartige Erweiterung in deren Burp Suite installiert wird. Ein klassischer „Hack the Hacker“-Ansatz.
Cacti Unauthenticated RCE (CVE-2025-24367)
Monitoring-Systeme werden oft schlecht gewartet. Das neue Modul für Cacti (Versionen vor 1.2.29) nutzt eine Lücke in den „Graph Templates“, um ohne Login Code auszuführen. Dies ist ein idealer Einstiegspunkt in Netzwerk-Management-Segmente.
N-able N-Central Chaining (CVE-2025-9316 & 11700)
Ein weiteres Beispiel für „Chaining“. Dieses Modul kombiniert einen Session Bypass mit einer XML External Entity (XXE) Schwachstelle. Das Ziel sind RMM-Systeme (Remote Monitoring and Management). Durch die Kombination können Angreifer beliebige Dateien auf dem Server lesen, ohne sich jemals einzuloggen.
Control Web Panel Injection (CVE-2025-67888)
Für Angriffe auf Hosting-Provider und Webserver wurde am 14. Januar 2026 ein Modul für das Control Web Panel (CWP) veröffentlicht. Es handelt sich um eine unauthentifizierte Command Injection in der API, die oft Root-Zugriff auf den verwalteten Server ermöglicht.
LoongArch64 & RISC-V Support
Metasploit bereitet sich auf neue Hardware vor. Ende 2025 wurde die Unterstützung für LoongArch64 (chinesische CPU-Architektur) und RISC-V (Open Source Hardware) finalisiert. Das Framework kann nun Shellcode generieren, der nativ auf diesen Plattformen läuft – ein entscheidender Schritt für IoT- und Industrie-Pentests.
Der Januar 2026 zeigt eine klare Tendenz: Die Zeit der „einfachen“ Buffer Overflows ist vorbei. Metasploit fokussiert sich jetzt auf logische Verkettungen (FreePBX, N-able) und die Kompromittierung von DevOps-Infrastruktur (Taiga, n8n, React). Wer seine Sicherheitsstrategie nur auf das Patchen von Windows-Clients beschränkt, wird von dieser neuen Welle an Server-Side-Exploits kalt erwischt.
Rechtliche Aspekte in Deutschland (StGB)
Bevor ihr das alles wild ausprobiert, müssen wir kurz über die rechtliche Seite sprechen. In Deutschland ist das Hacking – selbst wenn es „nur mal zum Schauen“ ist – kein Kavaliersdelikt. Wer diese Techniken ohne schriftliche Erlaubnis (Pentest-Vertrag) auf fremden Systemen anwendet, bewegt sich nicht mehr in einer Grauzone, sondern macht sich strafbar. Hier sind die drei wichtigsten Paragraphen, die jeder Pentester in Deutschland kennen muss.
§ 202a StGB – Ausspähen von Daten
Dieser Paragraph ist der Klassiker. Er greift, sobald man sich unbefugt Zugang zu Daten verschafft, die nicht für einen bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind. Wenn wir im obigen Beispiel den WAF-Bypass nutzen, um die wp-config.php und damit die Datenbank-Passwörter auszulesen, erfüllen wir genau diesen Tatbestand. Das „Überwinden der Zugangssicherung“ ist hier der Knackpunkt – und dazu gehört auch das Umgehen von Firewalls oder Login-Masken.
§ 303a StGB – Datenveränderung
Viele denken: „Ich habe ja nichts kaputt gemacht, nur eine Datei hochgeladen“. Das ist ein Irrtum. § 303a StGB stellt bereits das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten unter Strafe. Sobald wir unsere Shell (z.B. die 404.php) auf den Server hochladen oder eine bestehende Datei editieren, haben wir den Zustand des Servers verändert. Damit ist dieser Tatbestand oft schon erfüllt, selbst wenn der Server danach noch einwandfrei läuft.
§ 202c StGB – Vorbereiten des Ausspähens und Abfangens von Daten
Das ist der berüchtigte „Hackerparagraph“. Er ist besonders tückisch, weil er schon das Vorfeld einer Tat kriminalisiert. Er verbietet das Herstellen, Verschaffen, Verkaufen oder Verbreiten von Computerprogrammen, deren Zweck die Begehung einer solchen Tat ist. Mein kleines PHP-Skript, das die system()-Sperre umgeht, könnte als ein solches Tool (Dual-Use-Tool) gewertet werden, wenn ich es mit der Absicht verbreite, damit Systeme zu hacken. Deshalb gilt: Solche Skripte und Techniken dürfen ausschließlich zu Bildungszwecken und auf eigenen, isolierten Systemen (wie bei Hack The Box oder auf dem lokalen Server) verwendet werden.
Andere Artikel:
