Hat jemand WatchGuard Firebox Firewalls im Einsatz? In diversen Versionen des Fireware OS gibt es eine kritische LDAP-Injection-Schwachstelle CVE-2026-1498, die zeitnah gepatcht werden sollte. WatchGuard hat dazu bereits zum 29. Januar 2026 einen Sicherheitshinweis mit weiteren Details sowie Updates bereitgestellt.
Blog-Leser Marcel W. hatte mich gestern per Mail auf das Problem hingewiesen (danke dafür) und schrieb:
Wieder einmal gibt es akuten Handlungsbedarf. Firmware und VPN-Clients müssen aktualisiert werden. Falls du deine Leser informieren möchtest:
LDAP-Schwachstelle (CVE-2026-1498): Fireware-Update empfohlen
Mit dem neuen Fireware Release v2026.1 / v12.11.7 / v12.5.16 schließt WatchGuard eine kritische LDAP-Schwachstelle (CVE-2026-1498), die alle Firebox-Modelle mit Fireware v12.0 oder höher betrifft. Die Sicherheitslücke erlaubt es Angreifern ohne Anmeldung, LDAP-Daten auszulesen und sich unter bestimmten Umständen sogar als Benutzer anzumelden – durch manipulierte LDAP-Abfragen.
Marcel hatte mir noch einen Link auf das WatchGuard Security Advisory WGSA-2026-00001 WatchGuard Firebox LDAP Injection mitgeschickt. Dort hat WatchGuard zum 29. Januar 2026 auf die kritische Schwachstelle CVE-2026-1498 (CVSS Base-Index 7.0, High) hingewiesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt laut dieser Seite einen CVSS-Base-Score von 10/10 an (da Remote-Angriffe möglich sind).
Bei CVE-2026-1498 handelt es sich um ein LDAP-Injection-Sicherheitslücke in WatchGuard Fireware OS, die es einem nicht authentifizierten Angreifer ermöglichen kann, über eine exponierte Authentifizierungs- oder Verwaltungswebschnittstelle sensible Informationen von einem verbundenen LDAP-Authentifizierungsserver abzurufen. Diese Sicherheitslücke kann es einem Angreifer auch ermöglichen, sich mit einer Teilkennung als LDAP-Benutzer zu authentifizieren, wenn er zusätzlich über die gültige Passphrase dieses Benutzers verfügt. Betroffen sind folgende Versionen von WatchGuard Firebox (Fireware OS):
- Alle Versionen vor 2026.1
- Alle Versionen vor 12.11.7
- Alle Versionen vor 12.5.16
Watchguard empfiehlt, zeitnah je nach Installation eine der folgenden Versionen von Watchguard Firebox zu installieren:
- Versionen 2026.1
- Versionen 12.11.7
- Versionen 12.5.16
Es sind folgende Produkte betroffen:
| Product Family | Product Branch | Product List |
|---|---|---|
|
Firebox
|
Fireware OS 12.5.x | T15, T35 |
|
Firebox
|
Fireware OS 2025.1.x | T115-W, T125, T125-W, T145, T145-W, T185, M295, M395, M495, M595, M695 |
|
Firebox
|
Fireware OS 12.x | T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV |
MVP: 2013 – 2016
"Watchguard empfiehlt, zeitnah je nach Installation eine der folgenden Versionen von Watchguard Firebox zu installieren" was mal wieder ohne Lizenz nicht möglich ist :)
Dann solltet ihr euch die Lizenz eventuell kaufen. Hier zu sparen könnte sich als ein Fehler erweisen.
Wir benutzen die Firebox M290, Aktualisierung vorhin durchgeführt, keine Probleme.
Unseren Cluster habe ich gestern aktualisiert. Keine Probleme.
Die VPN-Clients funktionieren mit älteren Versionen weiterhin; sollten aber auch umgehend auf die neueste Version nachgezogen werden.
Wir haben unseren Cluster gestern aktualisiert. Keine Probleme.
Hinsichtlich VPN-Clients: Hier sind auch ältere Versionen weiterhin kompatibel. Diese sollten aber umgehend nachgezogen werden.