{"id":9070,"date":"2026-07-02T04:40:45","date_gmt":"2026-07-02T04:40:45","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=9070"},"modified":"2026-07-08T08:15:28","modified_gmt":"2026-07-08T08:15:28","slug":"cve-2026-37106","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/","title":{"rendered":"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/de\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span>In der weit verbreiteten Open-Source-Wiki-Software <strong>DokuWiki<\/strong> wird eine als <strong>CVE-2026-37106<\/strong> gef\u00fchrte Schwachstelle diskutiert, die von der National Vulnerability Database (NVD) mit einem CVSS-Score von <strong>9.8<\/strong> eingestuft wird. Anders als in ersten Meldungen dargestellt handelt es sich <strong>nicht um Remote Code Execution<\/strong>, sondern um die M\u00f6glichkeit, \u00fcber die Registrierungsfunktion (register in inc\/auth.php) ein Benutzerkonto anzulegen. Der Hersteller <strong>bestreitet die Einstufung als Schwachstelle<\/strong>: Das Verhalten sei beabsichtigt, sobald die optionale Selbstregistrierung aktiviert ist \u2013 eine Funktion, die in der Standardkonfiguration <strong>deaktiviert<\/strong> ist. Dieser Beitrag ordnet die Meldung sachlich ein.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png\" alt=\"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)\" class=\"wp-image-9069\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<p><strong>Zentrale Fakten:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-ID:<\/strong> CVE-2026-37106<\/li>\n\n\n\n<li><strong>Einstufung:<\/strong> CVSS 9.8 (kritisch) laut NVD\/CISA-ADP \u2013 vom Hersteller ausdr\u00fccklich bestritten<\/li>\n\n\n\n<li><strong>Art der Schwachstelle:<\/strong> Unautorisierte Konto-Anlage \u00fcber die <strong>register<\/strong>-Funktion (CWE-640) \u2013 <strong>keine<\/strong> Remote Code Execution<\/li>\n\n\n\n<li><strong>Betroffene Software:<\/strong> DokuWiki 2025-05-14b \u201eLibrarian&#8220;<\/li>\n\n\n\n<li><strong>Voraussetzung:<\/strong> Nur relevant, wenn die optionale Selbstregistrierung aktiviert ist (Standard: deaktiviert)<\/li>\n\n\n\n<li><strong>Status:<\/strong> Als beabsichtigtes Verhalten bestritten; kein Patch angek\u00fcndigt; keine aktive Ausnutzung bekannt<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Was CVE-2026-37106 tats\u00e4chlich beschreibt<\/strong><\/h2>\n\n\n\n<p>Laut <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-37106\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a> erlaubt die Registrierungsfunktion (<strong>register<\/strong> in <strong>inc\/auth.php<\/strong>) der DokuWiki-Version 2025-05-14b \u201eLibrarian&#8220; einem entfernten Nutzer das Anlegen eines Kontos. Die NVD ordnet dies der Schw\u00e4che <strong>CWE-640<\/strong> zu und vergibt \u00fcber die CISA-ADP-Anreicherung einen CVSS-Score von 9.8. Ein zun\u00e4chst kursierendes GitHub-Advisory sprach von \u201earbitrary code execution&#8220; \u2013 diese Darstellung ist widerspr\u00fcchlich und wird durch die NVD-Beschreibung nicht gest\u00fctzt: Es geht um Konto-Anlage, nicht um Codeausf\u00fchrung.<\/p>\n\n\n\n<p><strong>Wichtige Einordnung:<\/strong> Der DokuWiki-Hersteller bestreitet die Schwachstelle. Die Selbstregistrierung ist ein dokumentiertes, <strong>optionales<\/strong> Feature, das in der Standardinstallation <strong>deaktiviert<\/strong> ist. Ist sie bewusst aktiviert, ist das Anlegen von Konten das erwartete Verhalten. Der hohe CVSS-Wert (Vektor <strong>CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/strong>) spiegelt die reale Auswirkung einer reinen Konto-Anlage daher nur eingeschr\u00e4nkt wider und ist entsprechend umstritten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Welches Risiko besteht realistisch?<\/strong><\/h2>\n\n\n\n<p>F\u00fcr Installationen mit <strong>deaktivierter<\/strong> Selbstregistrierung \u2013 dem Standard \u2013 ergibt sich aus dieser Meldung kein unmittelbares Risiko. Wo die Selbstregistrierung aktiv ist, kann ein nicht angemeldeter Nutzer selbstst\u00e4ndig ein Konto anlegen. Je nach Konfiguration (etwa fehlende E-Mail-Verifikation) und vergebenen Zugriffsrechten (ACLs) k\u00f6nnte er damit auf nicht-\u00f6ffentliche Wiki-Inhalte oder angemeldete Funktionen zugreifen. Eine Codeausf\u00fchrung, eine Server-\u00dcbernahme oder ein Ransomware-Szenario l\u00e4sst sich aus dieser Schwachstelle \u2013 anders als urspr\u00fcnglich berichtet \u2013 <strong>nicht<\/strong> ableiten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Empfohlene Handlungsma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Angesichts der bestrittenen Einstufung ist ein besonnenes, konfigurationsorientiertes Vorgehen sinnvoll:<\/p>\n\n\n\n<ol class=\"wp-block-list has-text-color\" style=\"color:#ffffff\">\n<li><strong>Konfiguration pr\u00fcfen:<\/strong> Stellen Sie fest, ob die Selbstregistrierung aktiviert ist. In der Standardkonfiguration ist sie deaktiviert \u2013 dann sind Sie von dieser Meldung nicht betroffen.<\/li>\n\n\n\n<li><strong>Registrierung absichern (falls genutzt):<\/strong> Beschr\u00e4nken Sie die Registrierung auf vertrauensw\u00fcrdige Nutzer, aktivieren Sie die E-Mail-Verifikation und \u00fcberpr\u00fcfen Sie Ihre ACL-Rechte, damit neu angelegte Konten keinen Zugriff auf sensible Inhalte erhalten.<\/li>\n\n\n\n<li><strong>Bestand &amp; Updates im Blick behalten:<\/strong> Identifizieren Sie exponierte DokuWiki-Instanzen und deren Versionsstand und beobachten Sie die offiziellen Release-Kan\u00e4le, falls der Hersteller die Registrierungslogik k\u00fcnftig weiter h\u00e4rtet.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Einordnung in Compliance-Anforderungen<\/strong><\/h2>\n\n\n\n<p>Unabh\u00e4ngig von diesem konkreten Fall bleibt ein strukturiertes Schwachstellen- und Konfigurationsmanagement Kern moderner Sicherheitsstandards: Die EU-Richtlinie <strong>NIS-2<\/strong> sowie die <strong>ISO 27001<\/strong> (Anhang A, A.8.8) fordern einen definierten Prozess zur Handhabung technischer Schwachstellen und sicherer Konfigurationen. Eine Meldepflicht nach <strong>Art. 33 DSGVO<\/strong> entsteht nur, wenn es tats\u00e4chlich zu einem unbefugten Zugriff auf personenbezogene Daten kommt \u2013 bei korrekt konfigurierter DokuWiki-Instanz ist das durch diese Meldung nicht der Fall.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Wie LocateRisk Transparenz schafft<\/strong><\/h2>\n\n\n\n<p>Selbst betriebene Systeme wie DokuWiki sind h\u00e4ufig nicht zentral dokumentiert. Eine kontinuierliche \u00dcberwachung der externen Angriffsfl\u00e4che hilft, solche Instanzen samt Konfigurations- und Versionsstand im Blick zu behalten.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>External Attack Surface Management (EASM):<\/strong> LocateRisk deckt \u00f6ffentlich erreichbare Systeme Ihrer Organisation auf \u2013 einschlie\u00dflich vergessener Subdomains, unkontrollierter Cloud-Assets und Schatten-IT. Exponierte DokuWiki-Instanzen werden \u00fcber Fingerprinting erkannt, sodass Sie veraltete oder unn\u00f6tig \u00f6ffentlich erreichbare Installationen identifizieren und deren Absicherung veranlassen k\u00f6nnen.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Continuous Vendor Risk Management (C-VRM):<\/strong> Betreiben externe Dienstleister oder Partner exponierte Web-Anwendungen f\u00fcr Sie, l\u00e4sst sich deren Sicherheits- und Patch-Niveau \u00fcber ein kontinuierliches Vendor Risk Management bewerten und nachverfolgen.<\/li>\n<\/ul>\n\n\n\n<p>LocateRisk ist als L\u00f6sung \u201eMade in Germany&#8220; konzipiert und unterst\u00fctzt Unternehmen bei der Erf\u00fcllung von DSGVO-Anforderungen \u2013 gehostet in zertifizierten deutschen Rechenzentren mit Schutz vor dem US Cloud Act.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>NVD\/NIST (ma\u00dfgebliche Einordnung, Status \u201eDisputed&#8220;): <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-37106\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2026-37106<\/a><\/li>\n\n\n\n<li>GitHub Advisory (widerspr\u00fcchliche RCE-Formulierung): <a href=\"https:\/\/github.com\/advisories\/GHSA-4856-qxx9-mgf3\" target=\"_blank\" rel=\"noreferrer noopener\">GHSA-4856-qxx9-mgf3<\/a><\/li>\n\n\n\n<li>DokuWiki-Projekt: <a href=\"https:\/\/github.com\/dokuwiki\/dokuwiki\" target=\"_blank\" rel=\"noreferrer noopener\">github.com\/dokuwiki\/dokuwiki<\/a><\/li>\n\n\n\n<li>PoC-Information: <a href=\"https:\/\/gist.github.com\/KyrieKlay\/3260f4eeea025f2cd1daa7eb1360c5a1\" target=\"_blank\" rel=\"noreferrer noopener\">gist.github.com\/KyrieKlay<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h3>\n\n\n\n<p>LocateRisk identifiziert Ihre externen IT-Systeme und bewertet deren Sicherheit kontinuierlich und vollautomatisiert. So erkennen Sie Schwachstellen, bevor Angreifer sie ausnutzen.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check anfordern<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen zu CVE-2026-37106<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Ist CVE-2026-37106 eine Remote-Code-Execution-L\u00fccke?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Nein. Die ma\u00dfgebliche NVD-Beschreibung spricht vom Anlegen eines Benutzerkontos \u00fcber die register-Funktion in inc\/auth.php, nicht von Codeausf\u00fchrung. Ein fr\u00fches GitHub-Advisory nannte zwar \u201earbitrary code execution&#8220;, diese Formulierung ist widerspr\u00fcchlich und wird von der NVD nicht gest\u00fctzt.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Bin ich von CVE-2026-37106 betroffen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Nur, wenn Sie die optionale Selbstregistrierung aktiviert haben. In der Standardkonfiguration ist diese deaktiviert \u2013 dann besteht aus dieser Meldung kein Risiko. Pr\u00fcfen Sie Ihre Konfiguration und die vergebenen ACL-Rechte.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Gibt es einen Patch, und wie ist der Status?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Nein. Der Hersteller bestreitet die Einstufung als Schwachstelle, da es sich um beabsichtigtes Verhalten der optionalen Selbstregistrierung handelt (NVD-Status \u201eDisputed&#8220;). Ein Sicherheits-Patch ist daher nicht angek\u00fcndigt. Die Absicherung erfolgt \u00fcber die Konfiguration \u2013 die Selbstregistrierung deaktiviert lassen oder einschr\u00e4nken.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Wird die Schwachstelle aktiv ausgenutzt?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Es sind keine F\u00e4lle aktiver Ausnutzung bekannt; \u00f6ffentlich verf\u00fcgbar ist lediglich eine Proof-of-Concept-Beschreibung.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"de\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/de\/cve-2026-37106\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: block; width: 100%; height: 50px; border: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 50px; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung &#038; Schutz.<\/p>\n","protected":false},"author":13,"featured_media":9069,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[632],"tags":[682,260,681,684,4,165,113,111,115,683],"class_list":["post-9070","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-news","tag-cve-2026-37106","tag-cvss-9-8","tag-dokuwiki","tag-inc-auth-php","tag-it-sicherheit","tag-nis-2","tag-rce","tag-remote-code-execution","tag-schwachstelle","tag-wiki-software"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke<\/title>\n<meta name=\"description\" content=\"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung &amp; Schutz.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/de\/cve-2026-37106\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke\" \/>\n<meta property=\"og:description\" content=\"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung &amp; Schutz.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/de\/cve-2026-37106\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-02T04:40:45+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T08:15:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)\",\"datePublished\":\"2026-07-02T04:40:45+00:00\",\"dateModified\":\"2026-07-08T08:15:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/\"},\"wordCount\":853,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-37106-featured.png\",\"keywords\":[\"CVE-2026-37106\",\"CVSS 9.8\",\"DokuWiki\",\"inc\\\/auth.php\",\"IT-Sicherheit\",\"NIS-2\",\"RCE\",\"Remote Code Execution\",\"Schwachstelle\",\"Wiki-Software\"],\"articleSection\":[\"Cybersecurity News\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/\",\"name\":\"DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-37106-featured.png\",\"datePublished\":\"2026-07-02T04:40:45+00:00\",\"dateModified\":\"2026-07-08T08:15:28+00:00\",\"description\":\"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung & Schutz.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-37106-featured.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-37106-featured.png\",\"width\":400,\"height\":400,\"caption\":\"Kritische RCE-Schwachstelle in DokuWiki (CVE-2026-37106)\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-37106\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke","description":"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung & Schutz.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/","og_locale":"de_DE","og_type":"article","og_title":"DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke","og_description":"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung & Schutz.","og_url":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/","og_site_name":"LocateRisk","article_published_time":"2026-07-02T04:40:45+00:00","article_modified_time":"2026-07-08T08:15:28+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Kristina Hoinkis","Gesch\u00e4tzte Lesezeit":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)","datePublished":"2026-07-02T04:40:45+00:00","dateModified":"2026-07-08T08:15:28+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/"},"wordCount":853,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png","keywords":["CVE-2026-37106","CVSS 9.8","DokuWiki","inc\/auth.php","IT-Sicherheit","NIS-2","RCE","Remote Code Execution","Schwachstelle","Wiki-Software"],"articleSection":["Cybersecurity News"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/","url":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/","name":"DokuWiki CVE-2026-37106: keine RCE, umstrittene L\u00fccke","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png","datePublished":"2026-07-02T04:40:45+00:00","dateModified":"2026-07-08T08:15:28+00:00","description":"CVE-2026-37106 (DokuWiki): keine RCE, sondern umstrittene Konto-Anlage \u2014 nur bei aktivierter Selbstregistrierung (Standard: aus). Einordnung & Schutz.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/cve-2026-37106\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-37106-featured.png","width":400,"height":400,"caption":"Kritische RCE-Schwachstelle in DokuWiki (CVE-2026-37106)"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/cve-2026-37106\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"DokuWiki: umstrittene Account-L\u00fccke (CVE-2026-37106)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"IT-Sicherheit messen und vergleichen","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/comments?post=9070"}],"version-history":[{"count":4,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9070\/revisions"}],"predecessor-version":[{"id":9132,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9070\/revisions\/9132"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media\/9069"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media?parent=9070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/categories?post=9070"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/tags?post=9070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}