Pwn2Own Berlin 2026: 1,3 miljoner dollar och 47 nolldagar
The Pwn2Own Berlin 2026 competition concluded with over $1.29 million distributed to researchers uncovering 47 zero-day vulnerabilities. Taiwanese team DEVCORE dominated, while logistical issues led to a record number of rejected registrations.
Pwn2Own Berlin 2026 avslutades den 16 maj med ett rekordresultat. Under tre dagar under OffensiveCon-konferensen avslöjade säkerhetsforskarlag 47 unika zero-day-sårbarheter och fick totalt 1,3 miljoner dollar i utbetalningar.
DEVCORE från Taiwan dominerade tävlingen och vann "Master of Pwn" med 50,5 poäng och 505 000 dollar. STARLabs SG från Singapore kom tvåa med 25 poäng och 242 500 dollar, medan Out Of Bounds tog tredje plats med 12,75 poäng och 95 750 dollar.
Den största enskilda utbetalningen gick till Orange Tsai från DEVCORE, som fick 200 000 dollar för en fjärrkörningsattack mot Microsoft Exchange. Attacken krävde tre kedjade sårbarheter för att uppnå SYSTEM-rättigheter. Samma dag fick Tsai ytterligare 175 000 dollar för att bryta ut ur Microsoft Edge sandbox genom fyra logikbuggar.
Andra anmärkningsvärda prestationer inkluderade Nguyen Hoang Thach från STARLabs SG, som exploaterade VMware ESXi genom minneskorruption och fick 200 000 dollar. Splitline från DEVCORE komprometterade Microsoft SharePoint med två kedjade buggar och erhöll 100 000 dollar.
Sårbarheter avslöjades i ett brett spektrum av produkter. Windows 11 utsattes för en lokal behörighetsökning via integer overflow. Red Hat Enterprise Linux hade två kritiska problem: en use-after-free-sårbarhet kombinerad med oinitierat minne som gav root-åtkomst. NVIDIA Container Toolkit exponerades också under tävlingen.
AI-kategorin visade nya attackvektorer. Satoki Tsuji exploaterade OpenAI Codex, medan Anthropic Claude Code attackerades, även om det senare resulterade i kollisioner mellan bidrag.
Pwn2Own Berlin 2026 var historisk på ett sätt: för första gången på 19 år fick tävlingen slut på tillgängliga platser. Registreringen stängdes den 7 maj på grund av överbefolkning.
Leverantörerna har nu 90 dagar på sig att patcha de avslöjade sårbarheten. För företag som använder dessa produkter är det kritiskt att följa säkerhetsbulletiner noga och implementera uppdateringar så snart de blir tillgängliga. Pwn2Own visar att sårbarheter finns överallt, från operativsystem till molninfrastruktur och AI-tjänster.