Chainlit, ein hochverwendetes Open Source-Tool, um Konversationsschnittstellen und Orchester IA-Komponenten zu montieren, war der Fokus eines Sicherheitsalarms, der die Alarme in Organisationen, die es dem Internet ausgesetzt haben, aktivieren sollte. Zafran Labs-Forscher haben zwei Schwerkraft-Versagen identifiziert, die, kombiniert, erlauben vom Lesen jeder Datei, die vom Server zugänglich ist, um ausgehende Anfragen an die Sonde internen Netzwerke zu zwingen, die Tür zu Lecks von Geheimnissen und Seitenbewegungen in Cloud-Umgebungen zu öffnen. Sie können den technischen Bericht der Entdecker in der Veröffentlichung von Zafran Labs lesen: ChainLeak - Zafran Labs.
Vor der Eingabe in technische Details ist es angebracht, die Größe des Problems in den Kontext zu setzen: Chainlit ist ein Projekt mit einem bemerkenswerten Einsatz in Python, das sich um 700.000 monatliche Downloads in PyPI und werden oft in Bereitstellungen von Unternehmen und akademischen Umgebungen gefunden, die Chat-Schnittstellen Benutzern aussetzen oder Assistenten in produktive Ströme integrieren. Seine Natur als "Front + Backend" für Chatbots und seine Integration mit Authentifizierung, Sitzungen und Cloud-Bereitstellung machen es zu einem attraktiven Vektor, wenn es schlecht konfiguriert oder verletzlich ist.
Die beiden oben genannten Fehler haben offizielle Kennungen in der NIST-Verwundbarkeitsbasis erhalten: Das erste, eine willkürliche Ablesung von Dateien erscheint als CVE-2026-22218, und die zweite, eine SSRF-Typ Sicherheitslücke, die es dem Server erlaubt, Anfragen an URLs zu machen, die vom Angreifer kontrolliert werden, erscheint als CVE-2026-22219.
In der Praxis wird CVE-2026-22218 durch einen Erweiterungspunkt für benutzerdefinierte Elemente ausgenutzt, die Chainlit in der Route / Projekt / Element freigibt: ein Angreifer kann ein Element mit einem "Pfad" Feld senden und den Server dazu veranlassen, die Datei dieser Route in die Angreifersitzung zu kopieren, ohne dass der Inhalt durch ausreichende Kontrollen geht. Der Effekt ist, dass ein bösartiger Schauspieler Dateien lesen kann, die der Chainlit-Prozess Zugriff hat, einschließlich API-Schlüssel, Cloud-Account-Anmeldeinformationen, Quellcode, Konfigurationsdateien, lokale SQLite-Datenbanken und Authentifizierungsgeheimnisse.
CVE-2026-22219 betrifft zum Teil Installationen, die die SQLAlchemy-basierte Datenschicht verwenden. Dort ermöglicht der Mechanismus ein benutzerdefiniertes Element, um ein 'url' Feld und zwingen den Server, eine GET-Anforderung zu dieser Richtung zu machen und die Antwort zu speichern. Diese Fähigkeit, ausgehende Anfragen zu stellen, wird in einen klassischen SSRF übersetzt: von der Auflistung und Beratung interner Dienste und Cloud-Metadaten, um Antworten zu bringen, die dann vom Angreifer aus Endpunkten der Elemente heruntergeladen werden können.
Die besorgniserregendste Sache von Zafran Labs ist, dass beide Fehler gekettet werden können: SSRF ermöglicht zum Beispiel den Zugang zu Infrastruktur-Metadaten oder internen Endpunkten, die Anmeldeinformationen zurückgeben, während willkürliche Messwerte kritische Dateien extrahieren können, sobald der Angreifer Informationen erhalten hat. In ihrer Demonstration beschreiben Forscher einen Fluss, der in vollem Engagement und seitlichen Bewegungen in Cloud-Umgebungen gipfelt, ein kritisches Szenario für jede Organisation, die von Identitäten und Geheimnissen für die Ressourcen-Orchestrierung abhängt.
Die Entdecker informierten die Chainlit-Betreuer am 23. November 2025 und erhielten am 9. Dezember 2025 eine Antwort; die Korrekturen wurden am 24. Dezember 2025 in der Fassung veröffentlicht 2.9.4. Seitdem hat die Branche weiterhin Wartung erhalten und die jüngste stabile Version ist die 2.9.6. Die unmittelbare und vorrangige Empfehlung für die betroffenen Geräte ist die Aktualisierung auf 2.9.4 oder vorzugsweise auf die jüngste verfügbare Version.
Wenn durch Kompatibilitätsbeschränkungen es nicht möglich ist, das Patch sofort anzuwenden, gibt es kompensatorische Maßnahmen, die das Risiko reduzieren: führen Sie Chainlit-Instanzen mit strengen Dateiberechtigungen und minimalen Vertrauensdienstkonten, blockieren Sie den ausgehenden Verkehr von den Containern oder Maschinen, die Chainlit nach Netzregeln oder Ausgabe-Proxys hosten, schützen Endpunkte mit starker Authentifizierung und WAF, deaktivieren oder beschränken Sie die Funktionalität, die Sie können, die Sie können, die Sie benutzerdefinierte Elemente hochladen oder aufnehmen oder aufnehmen können, und aktualisieren Sie benutzerdefinierte Elemente aufzeichnen, und überprüfen Sie benutzerdefinierte Elemente, und überprüfen Sie benutzerdefinierte Elemente, und überprüfen Sie Zugriffs- und registrieren. Es ist auch von entscheidender Bedeutung, Schlüssel und Geheimnisse zu rotieren, die ausgesetzt gewesen sein könnten und interne Systeme zu überprüfen, die über SSRF konsultiert werden können.
Neben sofortiger Minderung unterstreicht dieser Vorfall Sicherheitslehren, die auf jede Plattform anwendbar sind, die Schnittstellen zum Ausführen oder Bearbeiten von nutzerbezogenen Inhalten freigibt. Strenge Validierung von Eingaben, Mindestprivilegprinzipien und Ausstiegskontrollen (Netzwerkausgabe) muss Teil der Architektur sein bei der Bereitstellung von Software, die Erweiterungen oder Elemente von Dritten unterstützt. Darüber hinaus hilft die Einbeziehung dynamischer Sicherheitstests und Code-Reviews für Punkte, die Dateirouten oder URL-Fesseln behandeln, ähnliche Fehlerklassen zu identifizieren, bevor sie die Produktion erreichen.
Für Notfall-Reaktionsteams ist es angezeigt, Verpflichtungsindikatoren im Zusammenhang mit den obigen Routen und Endpunkten zu generieren, Zugriffsprotokoll zu / Projekt / Element und anderen Endpunkten von Elementen zu überprüfen, ob sensible Dateien heruntergeladen wurden und ungewöhnliche ausgehende Verkehrsdaten aus den betroffenen Instanzen zu überprüfen. Wenn verdächtige Aktivität erkannt wird, ist es ratsam, die Instanz zu isolieren, Speicher und Dateisystem zur Analyse zu erfassen und zur Rotation von Anmeldeinformationen mit möglichen Auswirkungen auf abhängige Dienste zu gelangen.
Die Sicherheitsgemeinschaft und die Verantwortlichen für Cloud-Plattformen sollten beachten, wie "freundliche" Infrastrukturkomponenten für Entwickler, wie IA-Chat-Rahmen, kritische Vektoren werden können, wenn sie nicht richtig isoliert sind. In diesem Zusammenhang ist es nützlich, Leitlinien und bewährte Praktiken zur SSRF-Abschwächung und zum Schutz von Geheimnissen zu überprüfen: Ressourcen wie CVE-Seiten und technische Berichte liefern überprüfbare Zusammenhänge, z.B. im NVD-Eintrag über diese Schwachstellen und in der oben erwähnten technischen Anmerkung von Zafran Labs.
Schließlich ist für diejenigen, die Chainlit in der Produktion verwenden, der Weg klar: aktualisieren Sie die parcheed Version so schnell wie möglich, überprüfen Sie nach potenzieller Exposition, drehen Sie Geheimnisse und straffen Netzwerksteuerungen und Berechtigungen. Die Geschwindigkeit der Anwendung dieser Schritte reduziert deutlich das Belichtungsfenster gegen Angreifer, die bekannte und dokumentierte Fehler ausnutzen könnten. Die Aufrechterhaltung einer aktuellen Bestandsaufnahme der exponierten Software und ihrer Abhängigkeiten und die Anmeldung eines frühen Benachrichtigungsverfahrens an interne Betreuer und Geräte wird dazu beitragen, zukünftige Schwachstellen mit weniger Auswirkungen zu beheben.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...