Ein Unbekannter mit dem sommerlichen Pseudonym „Bikini“ hat auf der Codesharing-Plattform Github Proof-of-Concept-Code für knapp zwei Dutzend Sicherheitslücken veröffentlicht – nach eigener Aussage allesamt bislang ungefixte Zero-Days. Darunter befinden sich Exploits für PHP, OpenVPN, VLC und andere Projekte. Die Schwere der Sicherheitslücken variiert von Informationslecks bis zu Codeeinschleusung. Wer will, kann die Lücken an den Hersteller melden, um Ruhm einzuheimsen.

Im Github-Repository „Exploitarium“ finden sich alle Lücken mit einer kurzen README, die wie Teile der eigentlichen Lückenfindung KI-generiert ist. Im Einzelnen sind folgende Projekte betroffen:

7-Zip 26.01 (Windows)AnyDesk 9.7.6 (Windows)c-aresDocker Engine 29.6.0FFmpeg: RASC-DecoderFirefox 152.0.2 (Windows)Floci 1.5.27 API GatewayFlowise 3.1.2 / flowise-components 3.1.2Ghidra 12.1.2GiteaImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)Lunar ClientMyBB 1.8.40nghttp2 1.69.0nmapobjdumpOpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0PHP 8.5.7RustDeskSystemInformer 4.0.26162.539 (Windows)VLC 3.0.23 (Windows)

Wie der unbekannte Sicherheitsforscher selber schreibt, sind manche seiner Funde „ein bißchen schrottig“, manche seien aber besser. Er nutzte KI für Handreichungen bei der Lückensuche, betont jedoch, dass fast alle PoCs handkodiert seien. Bis auf eine Lücke – CVE-2026-55200 – gibt es weder CVE-Kennungen noch CVSS-Punkte oder andere Zusatzinformationen. Potenziell Betroffene müssen diese aus den jeweiligen Readmes und dem PoC-Code extrahieren oder auf Bearbeitung durch die Hersteller warten. Auf die Hintergründe von CVE, CVSS und anderen Metadaten für Sicherheitslücken geht der Podcast „Passwort“ in seiner aktuellen Folge ausführlich ein.