16 Zero-Days in Cloud-PDF-Plattformen zeigen, warum das Hochladen von Dateien ein Sicherheitsrisiko ist
Sicherheitsforscher entdeckten im Februar 2026 16 Schwachstellen in Foxit und Apryse, die Kontoübernahmen und Datendiebstahl ermöglichten. Die Ursache liegt in der serverseitigen Dateiverarbeitung.
VaultTools · 20. März 2026
Inhaltsverzeichnis
- Was geschah
- Was die Schwachstellen ermöglichten
- Warum Cloud-PDF-Tools dieses Risiko strukturell tragen
- Browserbasierte Tools haben keinen Server als Angriffsziel
- Was Nutzer jetzt tun sollten
- Quellen
Was Geschah
Am 18. Februar 2026 veröffentlichte das Sicherheitsunternehmen Novee eine Studie mit 16 Zero-Day-Schwachstellen in zwei großen Cloud-PDF-Plattformen: Foxit und Apryse (ehemals PDFTron). Novee setzte KI-Agenten ein, die auf bekannte Schwachstellenmuster trainiert wurden, um beide Plattformen automatisch zu scannen und dabei 13 verschiedene Schwachstellenkategorien aufzudecken.
Die Verteilung: eine kritische und zwei hochgradige Sicherheitslücken in Apryse WebViewer, zwei hochgradige und elf mittelschwere Probleme in Foxit. Beide Anbieter wurden über koordinierte Offenlegung informiert und haben inzwischen Patches veröffentlicht. CVE-2025-70402 und CVE-2025-70400 betreffen die schwerwiegendsten Apryse-Lücken.
Foxit und Apryse sind keine Nischenprodukte. Sie gehören zu den am weitesten verbreiteten PDF-SDKs in Unternehmenssoftware. Ihre Cloud-Dienste verarbeiten Dokumente von Millionen von Nutzern.
Was Die Schwachstellen Ermöglichten
Die Schwachstellentypen lesen sich wie eine klassische Checkliste serverseitiger Angriffe: DOM-basiertes Cross-Site-Scripting (XSS), gespeichertes und reflektiertes XSS, Server-Side Request Forgery (SSRF), Path Traversal und OS-Command-Injection.
Mehrere Angriffe erforderten nicht mehr als das Öffnen eines präparierten Dokuments oder den Besuch einer manipulierten URL. Ein Ein-Klick-Angriff ist so gefährlich wie er klingt: Ein Nutzer öffnet ein scheinbar normales PDF, und ein Angreifer erhält die Möglichkeit, Daten zu exfiltrieren oder Befehle auf den Backend-Servern der Plattform auszuführen. Ein Browser-Exploit ist dafür nicht notwendig. Die Schwachstelle liegt auf der Serverseite, die die hochgeladene Datei verarbeitet.
Kontoübernahme und Datendiebstahl wurden beide als realistische Szenarien demonstriert. Für eine Plattform, die Verträge, Finanzunterlagen oder Krankenakten verarbeitet, haben diese Begriffe erhebliches Gewicht.
Warum Cloud-PDF-Tools Dieses Risiko Strukturell Tragen
Diese Klasse von Schwachstellen ist kein gewöhnlicher Fehler. Sie ist eine Folge der Architektur. Wenn ein PDF-Tool Dateien auf einem Server verarbeitet, muss der Server komplexe, von Angreifern kontrollierte Eingaben parsen. PDF ist eines der kompliziertesten Dateiformate überhaupt, mit eingebettetem JavaScript, umfangreichen Metadaten, verschachtelter Komprimierung und mehreren Codec-Schichten. Jeder Parser ist eine Angriffsfläche.
SSRF, Path Traversal und OS-Command-Injection-Schwachstellen setzen voraus, dass ein Server Code im Auftrag des Nutzers ausführt. XSS in einem webbasierten Dokumentbetrachter entsteht, weil ein Server Inhalte rendert, die aus einer hochgeladenen Datei stammen. Entfernt man den Server aus der Gleichung, verschwindet die gesamte Risikoklasse.
Dies sind keine Implementierungsfehler, die Foxit oder Apryse leichtfertig begangen haben. Sie sind der inhärente Preis cloudbasierter Dateiverarbeitung im großen Maßstab.
Browserbasierte Tools Haben Keinen Server Als Angriffsziel
Ein PDF-Tool, das vollständig im Browser via WebAssembly läuft, empfängt die Datei des Nutzers auf keinem Server. Es gibt kein Backend, in das Befehle injiziert werden könnten. Es gibt keine auf Cloud-Infrastruktur gespeicherte Datei. Es gibt keine Sitzung oder kein Konto, das über ein präpariertes Dokument gekapert werden könnte.
Die 16 von Novee offengelegten Schwachstellen sind allesamt serverseitige Angriffspfade. Eine browserbasierte Architektur schließt sie alle gleichzeitig, nicht durch bessere Sicherheitstechnik, sondern indem sie die serverseitige Verarbeitungskomponente vollständig eliminiert.
Das ist kein theoretischer Vorteil. Es ist eine strukturelle Eigenschaft: Ein Angreifer kann keine Datei von einem Server exfiltrieren, der sie nie empfangen hat.
Was Nutzer Jetzt Tun Sollten
Nutzer von Foxit- oder Apryse-Cloud-Diensten sollten sicherstellen, dass sie die aktuell gepatchten Versionen verwenden. Beide Anbieter haben die gemeldeten Schwachstellen nach Novees koordinierter Offenlegung behoben.
Grundsätzlich sollte jeder, der sensible Dokumente (rechtliche, finanzielle, medizinische oder persönliche) über cloudbasierte Online-Tools verarbeitet, vor dem Hochladen eine Frage stellen: Wohin geht diese Datei, und wer kann dort darauf zugreifen? Die Antwort ist selten so sauber, wie das Marketing des Anbieters nahelegt.
Browserbasierte Tools, bei denen die Verarbeitung auf dem eigenen Gerät des Nutzers stattfindet, geben eine eindeutigere Antwort: Die Datei geht nirgendwo hin.
Quellen
- Vulnerabilities in Popular PDF Platforms Allowed Account Takeover, Data Exfiltration (SecurityWeek)
- Hacker-Trained AI Discovers 16 New 0-Day Vulnerabilities in PDF Engines (Novee)
- From PDF to Pwn: Scalable 0day Discovery in PDF Engines (Novee)
- Modern PDF Platforms Are Becoming High-Risk Attack Surfaces (SiliconANGLE)
- Multiple Zero-Day Flaws in PDF Platforms Enable XSS and One-Click Attacks (HackRead)
- 16 Zero-Day Vulnerabilities in Popular PDF Platforms Enable Code Execution and Data Exfiltration (CyberSecurityNews)
- Account Hijacking, Data Theft Likely with Foxit, Apryse Flaws (SC Media)
- 16 Zero-Day Vulnerabilities Found in Apryse and Foxit PDF Platforms (VPN Central)