Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheitshinweis: Zwei Schwachstellen im PHP-HTTP-Client Guzzle (CVE-2026-55568 und CVE-2026-55767) — relevant durch seine Verbreitung in PHP-Bibliotheken

23. Juni 2026 · jproxx Security

Guzzle gehört zu den am weitesten verbreiteten HTTP-Clients im PHP-Ökosystem und wird in unzähligen Anwendungen, Frameworks und Erweiterungen verwendet, um ausgehende HTTP-Anfragen zu stellen. Da die Bibliothek über den Paketmanager Composer sehr häufig als indirekte Abhängigkeit eingebunden wird, ist sie in vielen Projekten enthalten, ohne dass die Betreiber sie bewusst ausgewählt haben — auch im Umfeld von WordPress und Shopware findet sie sich in zahlreichen Plugins, Modulen und Integrationen. Genau aus diesem Grund verdienen die beiden nachfolgenden Schwachstellen Aufmerksamkeit, obwohl ihre Einstufung nur im mittleren Bereich liegt: Ihre Reichweite ergibt sich weniger aus der Schwere der einzelnen Lücke als aus der schieren Verbreitung der betroffenen Komponente. Beide Schwachstellen sind in Guzzle 7.12.1 behoben.

CVE-2026-55568 — Unverschlüsselter Verkehr zum HTTPS-Proxy

In bestimmten Konfigurationen wird Datenverkehr, der auf dem Weg zum Proxy eigentlich durch TLS geschützt sein sollte, in allen Versionen vor 7.12.1 im Klartext übertragen. Konkret werden die Proxy-Zugangsdaten, also der Proxy-Authorization-Header beziehungsweise die im Proxy-URL hinterlegten Anmeldedaten, ohne Verschlüsselung gesendet, und auch der Zielhost samt Port der getunnelten HTTPS-Anfrage liegt offen. Betroffen ist eine Anwendung dann, wenn sie ihre Anfragen über die standardmäßig verwendeten cURL-Handler von Guzzle stellt, einen https://-Proxy in der Erwartung konfiguriert, dass bereits die Verbindung zum Proxy verschlüsselt ist, und gleichzeitig auf einer libcurl-Version älter als 7.50.2 läuft, die einen https://-Proxy stillschweigend wie einen unverschlüsselten http://-Proxy behandelt. Die National Vulnerability Database bewertet die Schwachstelle mit einem CVSS-Wert von 5.9, und Betreiber sollten Guzzle auf Version 7.12.1 oder neuer aktualisieren und nach Möglichkeit zusätzlich eine aktuelle libcurl-Version einsetzen.

Quellen: National Vulnerability Database — CVE-2026-55568 · GitHub Security Advisory GHSA-wpwq-4j6v-78m3

CVE-2026-55767 — Fehlerhafte Domain-Prüfung im CookieJar

Der CookieJar von Guzzle akzeptiert in allen Versionen vor 7.12.1 fälschlicherweise Cookies, deren Domain-Attribut nur aus einem einzelnen Punkt besteht oder durch Leerzeichen aufgefüllt ist. Da die interne Verarbeitung führende Punkte aus der Cookie-Domain entfernt und solche Werte dadurch zu einer leeren Zeichenkette normalisiert, während die Gültigkeitsprüfung lediglich eine strikt leere Domain zurückwies, konnten derartige Cookies gespeichert und anschließend so behandelt werden, als passten sie zu jedem beliebigen Anfrage-Host. Wenn eine Anwendung einen gemeinsam genutzten Cookie-Speicher verwendet und damit auch eine vom Angreifer kontrollierte Gegenstelle anspricht, kann diese ein Cookie setzen, das Guzzle später an völlig unbeteiligte Hosts mitsendet, was je nach Auswertung durch die nachgelagerten Dienste eine Cookie-Injektion oder eine Sitzungs-Fixierung ermöglicht. Die National Vulnerability Database stuft die Schwachstelle mit einem CVSS-Wert von 5.8 ein, und auch hier ist das Update auf Version 7.12.1 die maßgebliche Gegenmaßnahme.

Quellen: National Vulnerability Database — CVE-2026-55767 · GitHub Security Advisory GHSA-cwxw-98qj-8qjx

Warum das auch Sie betreffen kann

Selbst wenn Sie Guzzle nicht bewusst einsetzen, ist die Bibliothek mit hoher Wahrscheinlichkeit als indirekte Abhängigkeit in Ihrem Projekt vorhanden, weil viele verbreitete Pakete sie ihrerseits voraussetzen. Ob und in welcher Version Guzzle eingebunden ist, lässt sich am zuverlässigsten über die Datei composer.lock beziehungsweise mit dem Befehl composer show guzzlehttp/guzzle feststellen; wer herausfinden möchte, welches Paket die Abhängigkeit benötigt, kann dafür composer why guzzlehttp/guzzle verwenden. Stellen Sie anschließend sicher, dass mindestens Version 7.12.1 installiert ist, und aktualisieren Sie gegebenenfalls über composer update guzzlehttp/guzzle die Version.

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Advisories des Guzzle-Projekts sowie die oben verlinkten Quellen.