Grist-Core: Kritische Sicherheitslücke erlaubt Code-Ausführung per Tabellenkalkulation

Eine schwere Sicherheitslücke in der Open-Source-Tabellenkalkulation Grist-Core ermöglicht Angreifern die Fernausführung von Code. Betroffen sind Unternehmen und Behörden, die sensible Daten mit der Software verwalten.

Die als CVE-2026-24002 registrierte Schwachstelle mit dem CVSS-Score 9,1 erlaubt es, über manipulierte Tabellenformeln die Sicherheitsbarrieren der Software zu umgehen. Angreifer könnten so Server übernehmen und auf vertrauliche Informationen zugreifen. Sicherheitsexperten fordern sofortige Updates.

„Cellbreak“: Wie die Sandbox umgangen wird

Das Herz des Problems liegt in der Verarbeitung von Python-Formeln. Grist-Core nutzt Pyodide, eine WebAssembly-Portierung von Python, um Formeln in einer abgeschotteten Umgebung auszuführen. Doch diese Sandbox erwies sich als löchrig.

„Die blocklist-basierte Absicherung war unzureichend“, erklärt Entdecker Vladimir Tokarev. Angreifer können über Python-Klassenhierarchien auf geschützte Module wie ‚os‘ zugreifen. Damit lassen sich beliebige Systembefehle ausführen – ein gefundenes Fressen für Datendiebe.

Passend zum Thema IT‑Sicherheit: Dieses kostenlose E‑Book erklärt aktuelle Cyber‑Bedrohungen, warum Sandboxes wie Pyodide oft versagen und welche pragmatischen Schutzmaßnahmen Organisationen sofort umsetzen können. Enthalten sind eine Prioritätenliste für Administratoren, Schritt‑für‑Schritt‑Checks für Update- und Runtime‑Konfigurationen (z. B. Deno statt Pyodide), Checklisten für Incident Response sowie Hinweise zu sicheren Deployments und Containerlaufzeiten. Ideal für IT‑Verantwortliche in Behörden, Bildungseinrichtungen und mittelständischen Unternehmen. Schützen Sie Server und sensible Daten proaktiv. Jetzt Cyber-Security-Report herunterladen

Wer ist betroffen und was ist zu tun?

Grist-Core dient vielen Organisationen als Alternative zu Excel oder Google Sheets, darunter auch Bildungseinrichtungen im französischen öffentlichen Dienst. Die Lücke betrifft selbst gehostete Installationen und könnte auch SaaS-Umgebungen gefährden.

Die Entwickler reagierten mit Version 1.7.9 vom 20. Januar 2026. Die entscheidende Änderung: Formeln laufen jetzt standardmäßig in der Deno-Laufzeitumgebung. Dieses Berechtigungssystem verhindert den unerlaubten Zugriff auf Systemressourcen.

Administratoren sollten umgehend aktualisieren. Eine gefährliche Falle: Die Umgebungsvariable GRIST_PYODIDE_SKIP_DENO deaktiviert den neuen Schutz. Als Notlösung kann die Sandbox auf ‚gvisor‘ umgestellt werden.

Sandbox-Fluchten: Ein wachsendes Sicherheitsproblem

„Cellbreak“ reiht sich in eine Serie ähnlicher Lücken ein, zuletzt bei der Automatisierungsplattform n8n („N8scape“). Beide Fälle zeigen die Tücken bei der Abschottung mächtiger Skriptsprachen in Webanwendungen.

Der Wechsel vom blockierenden zum erlaubnisbasierten Sicherheitsmodell gilt als wichtiger Fortschritt. Sicherheitsexperten sehen darin einen neuen Standard für Anwendungen mit Code-Ausführung. Die Botschaft ist klar: Jede solche Funktion bleibt ein kritisches Sicherheitsrisiko.

PS: Sie verwalten sensible Daten in Behörden oder Unternehmen? Dieses kostenlose Cyber‑Security‑E‑Book zeigt kompakt, wie Sie Remote‑Code‑Execution‑Lücken erkennen, welche Runtime‑Einstellungen (z. B. Deno) sicherer sind und welche Sofortmaßnahmen realen Schutz bringen. Mit Praxisbeispielen, Vorlagen für Incident Response, einer Start‑Checkliste und klaren Empfehlungen für selbst gehostete Anwendungen wie Grist. Perfekt für IT‑Teams in Schulen, Kommunalverwaltung und dem Mittelstand – direkt umsetzbar. Gratis Cyber-Security-Guide anfordern