Ausnutzung von RCE-Schwachstellen im Qinglong Task Scheduler in der Praxis

Benutzer betreiben die Plattform häufig auf Cloud Virtual Private Servers und Heimnetzwerken mithilfe 7.

Februar 2026 begannen Administratoren, ungewöhnliche Aktivitäten zu bemerken. BleepingComputer hebt hervor, dass plötzliche CPU-Spitzen die Serverkapazität auf 100 % trieben.

Angreifer nutzten ungepatchte Schwachstellen aus, um Qinglongs Konfigurationsskript zu modifizieren und heimlich den fullgccryptominer getarnt als Java Garbage-Collection-Prozess herunterzuladen. Diese trügerische Namenskonvention sollte administrative Untersuchungen verzögern, während die Malware Systemressourcen verbrauchte.

Die Angriffe wurden durch zwei schwerwiegende

Die Angriffe wurden durch zwei schwerwiegende Schwachstellen in Qinglong Version 2.20.1 und älter ermöglicht. Snyk-Forscher erklären, dass beide Schwachstellen der Sicherheitsmiddleware und dem Routing-Verhalten des Express.js-Frameworks ausgehen.

CVE-2026-3965, detailliert in GitHub Issue #2933, entsteht durch eine URL-Rewrite-Regel, die Anfragen an /open/* fehlerhaft auf geschützte /api/* Endpunkte abbildet. Diese Schwachstelle ermöglicht es einem Angreifer, administrative Anmeldeinformationen mit einer einzigen nicht authentifizierten Anfrage neu zu initialisieren und zurückzusetzen.

CVE-2026-4047, detailliert in GitHub Issue #2934, nutzt die Groß-/Kleinschreibung-unempfindliche URL-Verarbeitung aus, indem es die Groß-/Kleinschreibung der Anfrage ändert (z. B. /aPi/ ), um Schutzmaßnahmen für /api/-Endpunkte zu umgehen.

Snyks Schwachstellen-Datenbank zeigt, dass dies eine

Snyks Schwachstellen-Datenbank zeigt, dass dies eine direkte Remote Code Execution ohne erzwungenes Zurücksetzen öglicht. Zeitlicher Ablauf des Vorfalls Die Ausnutzung blieb für die englischsprachige Sicherheits-Community weitgehend unbemerkt, während sie in Entwicklerforen Verheerungen anrichtete.

7.-8.

Februar: Erste Benutzer melden, dass der fullgc-Kryptominer zu starker CPU-Überlastung führt.

Wie der Speicher funktioniert

10. Februar: Die Community bittet um eine öffentliche Warnung, da die Infektionen auf verschiedene Bereitstellungsumgebungen übergreifen.

27.

Februar: Forscher enthüllen öffentlich die Grundursache als zwei unterschiedliche Authentifizierungs-Bypass-Schwachstellen.

Messwerte und Ergebnisse

1. März: Die Plattformbetreiber bestätigen die Sicherheitslücken und fordern die Benutzer dringend auf, die neuesten Updates anzuwenden.

Anfangs zeigten GitHub-Pull-Requests, dass die Community versuchte, die Bedrohung durch das Filtern bösartiger Eingaben abzumildern, was sich jedoch gegen den zugrunde liegenden Fehler der Zugriffskontrolle als unzureichend erwies. Die Betreiber behoben die Schwachstelle letztendlich durch die direkte Korrektur der Authentifizierungslogik des Middleware.

Um ihre Systeme zu sichern, sollten Betreiber ihre Docker-Container umgehend aktualisieren, nach versteckten .fullgcfiles prüfen und selbst gehostete Panels hinter sicheren VPNs platzieren. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Qinglong Task Scheduler RCE Vulnerabilities Exploited in the Wild erschien zuerst bei Cyber Security News.