Wir bei zentrust partners legen beim Betrieb unserer Infrastruktur hohe Maßstäbe an. Im Rahmen unseres zertifizierten Informationssicherheitsmanagements (ISMS) auf Basis von IT-Grundschutz führen wir regelmäßig Pentests von Anwendungen unserer Kunden durch. Aber auch unsere eigenen Anwendungen prüfen wir gemäß Vorgaben des BSI.
Zu Beginn des Jahres haben wir für die Dokumentation unseres ISMS die Open-Source-Lösung „BookStack“ evaluiert. BookStack überzeugt für uns als Alternative zu Confluence und glänzt mit einem aufgeräumten und eleganten Lesemodus, der einfach Spaß macht. Schnelles Nachschlagen in Handbüchern und Anweisungen und somit verbesserte Adhärenz statt verstaubter und ungepflegter Dokumentenablage.
Vor dem Einsatz bei zentrust partners haben wir für BookStack einen internen White-Box-Penetrationstests durchgeführt und die Ergebnisse verantwortungsbewusst an das Open-Source-Projekt gemeldet. Wir geben damit an die Open-Source-Community zurück und möchten dazu beitragen, dass gute und nützliche Open-Source-Projekte für alle Anwender sicherer werden.
Im Pentest haben wir eine schwerwiegende Schwachstelle in BookStack v25.12.1. Die Schwachstelle wurde durch den Maintainer umgehend geschlossen. Ein Update auf die Version BookStack v25.12.3 behebt die Schwachstelle.
Wir veröffentlichen dazu folgende Security Advisory:
Rechteausweitung in BookStack 25.12.1 durch Stored-CSRF
| Betroffene Software | BookStack |
| Geprüfte/Verwundbare Version | v25.12.1 |
| Datum der Entdeckung | 28.01.2026 |
| Veröffentlichung | 29.01.2026 |
| Schweregrad | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 8.5 (High) |
| Status | Behoben (Upstream-Fix ab v25.12.3 verfügbar) |
Zusammenfassung
Die Schwachstelle ermöglicht eine Privilegieneskalation von Editor- zu Administrator-Rechten und kann zu einer vollständigen Kompromittierung der BookStack-Instanz führen. Die Identifikation erfolgte im Rahmen eines internen Tests, die Offenlegung gegenüber dem Maintainer verantwortungsvoll und koordiniert.
Technische Beschreibung
BookStack erlaubt es Benutzern mit der Rolle Editor, HTML-Inhalte in Seiten einzubetten. In der geprüften Version v25.12.1 wurden dabei aktive HTML-Elemente wie <form> nicht ausreichend gefiltert. In Kombination mit folgenden Eigenschaften der BookStack-API ergibt sich ein Stored Cross-Site Request Forgery-Szenario:
- API-Endpunkte akzeptieren browserbasierte Session-Cookies zur Authentifizierung
- Zustandsverändernde Endpunkte akzeptieren
application/x-www-form-urlencoded - Es existiert keine ausreichende Trennung zwischen Web-UI- und API-Authentifizierung
Auswirkung
Ein Angreifer mit Editor-Rechten kann eine präparierte Seite erstellen, die ein HTML-Formular enthält. Klickt ein Administrator auf ein solches Element, wird eine authentifizierte Anfrage an die BookStack-API mit dem Session-Cookie des Administrators ausgelöst. Dadurch lassen sich administrative Aktionen wie das Erstellen neuer Administrator-Konten oder das Modifizieren von Rollen durchführen.
Ein erfolgreicher Angriff erlaubt somit eine vollständige Privilegieneskalation und damit:
- Übernahme der Benutzer- und Rollenverwaltung
- Persistente administrative Zugriffe
- Vollständigen Zugriff auf Inhalte der Instanz
Der Angriff erfordert eine Benutzerinteraktion (Klick durch einen Administrator). Aufgrund des Same-Site-Charakters der Anfrage ist der Angriff auch bei SameSite=Lax-Cookies möglich.
Ursachen
Die Ursachen lassen sich wie folgt zusammenfassen:
- Fehlende bzw. unzureichende HTML-Sanitisierung für Inhalte nicht-administrativer Benutzer
- Akzeptanz von Session-Cookies als API-Authentifizierungsmechanismus
- Unterstützung klassischer HTML-Formular-Requests für sicherheitskritische API-Endpunkte
Maßnahmen und Behebung
Der Maintainer von BookStack bestätigte die Schwachstelle und veröffentlichte am 29.01.2026 einen Fix in BookStack v25.12.3. Die Behebung umfasst unter anderem:
- Einschränkung der API-Nutzung bei cookie-basierter Authentifizierung (nur GET-Requests)
- Filterung aktiver HTML-Elemente beim Rendern von Seiteninhalten
Die offizielle Ankündigung des Releases findet sich hier: https://www.bookstackapp.com/blog/bookstack-release-v25-12-3/
Das zugehörige GitHub-Release: https://github.com/BookStackApp/BookStack/releases/tag/v25.12.3
zentrust partners hat die Änderungen bewertet und einen Retest durchgeführt, um die Wirksamkeit der Maßnahmen zu verifizieren.
Timeline
| 28.01.2026 | Entdeckung der Schwachstelle im Rahmen eines internen Pentests |
| 28.01.2026 | Meldung an den Maintainer |
| 29.01.2026 | Veröffentlichung des Upstream-Fixes |
Die Offenlegung erfolgte koordiniert und ohne öffentliche Vorabveröffentlichung technischer Details.
Attribution
Joud Zakharia, zentrust partners GmbHEinordnung
Der Vorfall zeigt exemplarisch, dass die Kombination aus WYSIWYG-Editoren, rollenbasierten Modellen und APIs ohne strikte Authentifizierungs- und Formatgrenzen ein nennenswertes Risiko darstellt. Insbesondere in kollaborativen Systemen sollten aktive Inhalte und API-Zugriffe konsequent voneinander getrennt werden.
zentrust partners unterstützt Hersteller und Betreiber bei der Identifikation solcher Schwachstellen sowie bei der nachhaltigen Härtung von Anwendungen - von der Entwicklung eines wirksamen Sicherheitskonzeptes über den Aufbau einer sicheren Architektur bis hin zur Wirksamkeitsprüfung von Sicherheitsmaßnahmen.