Yubico hat am 15. April 2026 ein Security Advisory zu einer Suchpfad-Schwachstelle (CVE-2026-40947) in drei eigenen Open-Source-Projekten veröffentlicht: YubiKey Manager, libfido2 und python-fido2. Betroffen sind ausschließlich Windows-Systeme. YubiKey-Hardware ist nicht betroffen.

Was ist passiert?

Die drei Software-Projekte laden unter Windows DLL-Dateien über die Funktion `LoadLibrary(TEXT(„DLL_NAME“))`. Diese Methode schränkt den Suchpfad nicht auf das Windows-Systemverzeichnis `System32` ein. Ein Angreifer, der eine manipulierte DLL-Datei im Installationsverzeichnis der betroffenen Software ablegen kann, bringt diese beim nächsten Programmstart zur Ausführung. Das ist ein klassischer DLL-Preloading-Angriff, auch bekannt unter CWE-426 (Untrusted Search Path).
Das Donjon Cerberus Team meldete das Problem am 21. März 2026 zunächst für libfido2. Yubico stellte am 27. März fest, dass python-fido2 und YubiKey Manager denselben Fehler aufweisen. Mit dem Advisory vom 15. April stellt Yubico korrigierte Versionen für alle drei Projekte bereit.

Wie schwer wiegt die Lücke?

Yubico bewertet CVE-2026-40947 mit einem CVSS-Score von 7.0 (hoch). MITRE und das NVD stufen dieselbe Schwachstelle mit 2.9 (niedrig) deutlich konservativer ein. Der Unterschied erklärt sich durch unterschiedliche Bewertungsmodelle: Yubico geht von einem Szenario aus, in dem der Angreifer Code mit vollen Systemrechten ausführen kann, sobald er eine Datei im Installationsverzeichnis platzieren darf. Ist die Software in einem durch Administratorrechte geschützten Verzeichnis installiert, benötigt ein Angreifer genau diese Rechte, um die Attacke durchzuführen. Das schränkt die praktische Ausnutzbarkeit erheblich ein und erklärt MITREs niedrigere Einstufung.

Für Organisationen, die YubiKey Manager oder libfido2 in sicherheitskritischen Umgebungen oder auf weniger strikt verwalteten Windows-Systemen betreiben, ist ein Update dennoch sinnvoll.