De Pwn2Own Berlin 2026 hackingwedstrijd is afgesloten met een totaal van $1.298.250 aan beloningen voor beveiligingsonderzoekers die 47 zero-day kwetsbaarheden wisten te benutten. De competitie vond plaats tijdens de OffensiveCon conferentie van 14 tot en met 16 mei en richtte zich op enterprise technologieën en kunstmatige intelligentie.

Gedurende het evenement werden volledig gepatchte producten aangevallen binnen verschillende categorieën, waaronder web browsers, enterprise applicaties, lokale privilege escalatie, servers, lokale inferentie, cloud-native/container omgevingen, virtualisatie en large language models (LLM). Op de eerste dag werden 24 unieke zero-days benut, goed voor $523.000 aan beloningen. De tweede dag leverde $385.750 op voor 15 zero-days, terwijl op de derde dag nog eens $389.500 werd verdiend met acht zero-days.

Het team DEVCORE won deze editie van Pwn2Own Berlin met 50,5 Master of Pwn punten en $505.000 aan beloningen na succesvolle aanvallen op Microsoft SharePoint, Microsoft Exchange, Microsoft Edge en Windows 11. STARLabs SG behaalde $242.500 (25 punten) en Out Of Bounds $95.750 (12,75 punten).

De hoogste beloning van $200.000 werd toegekend aan Cheng-Da Tsai, ook bekend als Orange Tsai van het DEVCORE Research Team, na het ketenen van drie bugs om remote code execution met SYSTEM-rechten op Microsoft Exchange te verkrijgen. Op de eerste dag verdiende hij daarnaast $175.000 voor het ontsnappen uit de sandbox van Microsoft Edge door vier logische bugs te combineren. Windows 11 werd drie keer gehackt en Valentina Palmiotti (chompie) van IBM X-Force Offensive Research ontving $70.000 voor het verkrijgen van rootrechten op Red Hat Linux for Workstations en een zero-day in de NVIDIA Container Toolkit.

Op de tweede dag werden onder andere een lokale privilege escalatie in Windows 11, een root-privilege escalatie in Red Hat Enterprise Linux for Workstations en zero-days in meerdere AI codeeragents gedemonstreerd. Tijdens de laatste dag werden Windows 11 en Red Hat Enterprise Linux opnieuw gehackt en werd een geheugenbeschadigingsbug gebruikt om VMware ESXi te exploiteren.

Na afloop van Pwn2Own hebben leveranciers 90 dagen de tijd om beveiligingspatches uit te brengen voordat TrendMicro's Zero Day Initiative (ZDI) de kwetsbaarheden openbaar maakt. Vorig jaar leverde het Pwn2Own Berlin evenement, gewonnen door STAR Labs SG, $1.078.750 op voor 29 zero-day kwetsbaarheden en enkele bugcollisies.