Das Offensive Security Team der BDO Cyber Security GmbH entdeckte eine Sicherheitslücke im Endpunkt (/api/support) der GlobaLeaks-Whistleblower-Plattform und meldete diese umgehend an das zuständige Entwicklerteam. Das Problem betraf eine unzureichende Validierung von URLs in eingehenden Support-Anfragen, die in Support-E-Mails an Administratorinnen und Administratoren weitergeleitet wurden. Dieser Artikel beschreibt kurz die Schwachstelle, deren Risikoabschätzung und Maßnahmen zur Behebung.
GlobaLeaks ist eine verbreitete Open-Source-Plattform für anonymes Whistleblowing, die Datenschutz, Anonymität und Transparenz in den Mittelpunkt stellt und sich daher für Organisationen mit sensiblen Meldungen eignet.
Während eines Penetrationstests einer GlobaLeaks-basierten Anwendung identifizierte das Offensive Security Team der BDO Cyber Security GmbH eine Schwachstelle im Support‑Endpoint (/api/support), erfasst als CVE-2026-33284. In GlobaLeaks‑Versionen bis einschließlich 5.0.88 wurden in Support‑Anfragen übermittelte URLs unverändert in E‑Mail‑Benachrichtigungen an Administratorinnen und Administratoren weitergeleitet, ohne ausreichende serverseitige Validierung.
Viele E-Mail-Clients wandeln URL-ähnlichen Text automatisch in anklickbare Links um. Ein Angreifer, der eine Support-Anfrage einreichen kann, könnte somit Administratoren-E-Mails mit Links zu vom Angreifer kontrollierten Seiten zustellen. Solche Nachrichten eignen sich für Phishing- oder Social-Engineering-Kampagnen, um Anmeldedaten zu stehlen oder Administratorinnen und Administratoren zu manipulieren.
Die Schwachstelle erlaubt keine Remote-Code-Ausführung, keine Dienstunterbrechung und führt nicht direkt zu einer Offenlegung von Daten aus der GlobaLeaks-Instanz. Zur Ausnutzung ist das Interagieren eines Administrators mit einem bösartigen Link erforderlich. Technisch ist das Risiko gering, operativ stellt es jedoch einen relevanten Phishing-Angriffsvektor gegen menschliche Betreiber dar.
Die Schwachstelle wurde am 13. März 2026 an das GlobaLeaks-Projekt gemeldet, welches einen Fix in Version 5.0.89 am 19. März 2026 veröffentlichte. Der Patch implementiert eine Funktion, die übermittelte URLs modifiziert („URL defanging“) und damit den Angriffsvektor schließt. Betreiber sollten deshalb als primäre Maßnahme auf GlobaLeaks 5.0.89 oder neuer aktualisieren.
CVE-2026-33284 illustriert, wie bereits geringe Mängel in der Eingabeverarbeitung praktische Phishing-Vektoren erzeugen können. Technische Patches sind essentiell, kombiniert mit operativen Kontrollen und Sensibilisierungsmaßnahmen lässt sich das reale Risiko jedoch wirksamer mindern.
Sie finden weitere von unserem Team veröffentlichte CVEs und Sicherheits-Advisories auf unserer Übersichtsseite für Advisories. Wenn auch Sie Unterstützung bei der Identifikation oder Behebung von Schwachstellen in Systemen, Anwendungen oder IoT-Geräten benötigen, beraten wir Sie gern. Unsere Offensive-Security-Leistungen umfassen Penetrationstests und Red-Team-Übungen, um Angreifern stets einen Schritt voraus zu sein. Darüber hinaus bieten wir ein breites Spektrum an Beratungsleistungen zur Ergänzung unseres Portfolios.
Für Details und zur Vereinbarung eines persönlichen Beratungsgesprächs kontaktieren Sie uns bitte hier.


