Kritische API-Schwachstellen in großen SaaS-Plattformen legen Millionen von Nutzerdaten offen. GraphQL-Introspection-Angriffe nehmen stark zu, da Unternehmen zunehmend auf API-First-Architekturen setzen. Eine neue BOLA-Schwachstellenklasse betrifft OAuth 2.0-Implementierungen bei über 40 Identity Providern.
⚡ Fazit: Ihre APIs sind wahrscheinlich stärker exponiert als Sie denken. Zeit für ein umfassendes API-Sicherheitsaudit.
☁️
Kritisch
CVE-2026-25001 — Salesforce API massenhafte Datenexposition
Warum es wichtig ist
Eine Broken Object Level Authorization (BOLA)-Schwachstelle in der Salesforce REST API ermöglicht es authentifizierten Nutzern, durch Manipulation von Objekt-IDs auf beliebige Datensätze zuzugreifen. Forscher schätzen, dass über 15.000 Salesforce-Organisationen Kundendaten durch fehlkonfigurierte API-Berechtigungen offenlegen könnten.
Auswirkung
Beschreibung
Datenleck
Zugriff auf sämtliche Kundendatensätze über Organisationen hinweg
Eine Schwachstelle im OAuth 2.0 Authorization Code Flow betrifft über 40 Identity Provider, darunter Okta, Auth0 und individuelle Implementierungen. Angreifer können bösartige Tokens einschleusen, um Benutzersitzungen über verbundene Anwendungen hinweg zu kapern.
👤
Kontoübernahme
Über alle OAuth-verbundenen Anwendungen hinweg
🔓
Session-Hijacking
Ohne Diebstahl von Anmeldedaten
🛡️
MFA-Umgehung
In nachgelagerten Anwendungen
🔄
Persistenter Zugriff
Durch Diebstahl von Refresh Tokens
Handlungsempfehlungen
OAuth-Bibliotheken auf gepatchte Versionen aktualisieren
PKCE für alle Authorization Code Flows implementieren
Token Binding aktivieren, sofern unterstützt
redirect_uri serverseitig strikt validieren
Client Secrets für betroffene Anwendungen rotieren
📊
Anstieg
GraphQL-API-Introspection-Angriffe
Warum es wichtig ist
Angreifer nutzen GraphQL-Introspection-Abfragen aus, um API-Schemata zu kartieren und sensible Endpunkte zu entdecken. 67 % der GraphQL-APIs in Produktionsumgebungen haben Introspection aktiviert und legen damit interne Datenstrukturen und potenzielle Schwachstellen offen.
Handlungsempfehlungen
Introspection in Produktionsumgebungen deaktivieren
Query Depth Limiting implementieren
Rate Limiting pro Benutzer und pro Abfrage aktivieren
Persisted Queries zur Einschränkung von Operationen verwenden
GraphQL-fähige WAF-Regeln einsetzen
💳
Exposition
Stripe API-Schlüssel über clientseitigen Code exponiert
Warum es wichtig ist
Sicherheitsforscher fanden über 12.000 Websites, die versehentlich geheime Stripe API-Schlüssel in clientseitigem JavaScript offenlegen. Angreifer können diese Schlüssel für Rückerstattungsbetrug, Kundendatendiebstahl und betrügerische Transaktionen missbrauchen.
Kritisch: Wenn Sie Stripe verwenden, scannen Sie sofort Ihren Frontend-Code. Exponierte geheime Schlüssel können Ihr Händlerkonto leeren.
Handlungsempfehlungen
Frontend-Code auf exponierte API-Schlüssel scannen
Stripe Restricted Keys mit minimalen Berechtigungen verwenden
Neue Forschung demonstriert Techniken zur Umgehung gängiger API-Rate-Limiting-Implementierungen mittels HTTP/2-Multiplexing, Header-Manipulation und verteilten Angriffen. Viele APIs sind anfälliger für Missbrauch als ihren Betreibern bewusst ist.
API-Gateways mit erweitertem Rate Limiting einsetzen
Anomalieerkennung für API-Datenverkehr aktivieren
Rate Limiting mit modernen Bypass-Techniken testen
API-Kontingente und Abrechnung in Betracht ziehen
🎟️
Fortlaufend
JWT Algorithm Confusion-Angriffe
Warum es wichtig ist
Angreifer nutzen weiterhin JWT-Implementierungen aus, die anfällig für Algorithm Confusion sind (alg:none, RS256→HS256). Viele benutzerdefinierte JWT-Bibliotheken und ältere Frameworks bleiben verwundbar.
Handlungsempfehlungen
Ausschließlich gut gewartete JWT-Bibliotheken verwenden