Tägliches Cyber- & KI-Sicherheitsupdate

Security-Briefing 28.06.2026: Kritische und mittlere Lücken in WordPress-Plugins gemeldet

- von Julka - Kommentar hinterlassen

Aktuelle sicherheitsrelevante Meldungen aus offiziellen Quellen, eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

Privilege Escalation im Invoice Generator Plugin für WordPress

Das Invoice Generator Plugin für WordPress ist anfällig für Privilegieneskalation aufgrund fehlender Berechtigungsprüfung bei der pravel_invoice_edit_account()-AJAX-Aktion. Der Handler ist über wp_ajax_nopriv_pravel_invoice_edit_account exponiert, akzeptiert vom Angreifer kontrollierte user_id und user_email aus POST-Daten und ruft wp_update_user() ohne Authentifizierungs-, Besitz- oder Nonce-Prüfung auf. Dies ermöglicht unauthentifizierten Angreifern, die E-Mail-Adresse beliebiger Nutzer – einschließlich Administratoren – zu ändern und anschließend den Passwort-Reset-Flow auszulösen, um Zugriff auf das betroffene Konto zu erlangen.

  • Priorität: Hoch (kritisch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-12415
  • Für wen relevant: Unternehmen, die das Invoice Generator Plugin für WordPress einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Unauthentifizierte Angreifer können Administratorrechte erlangen und vollständigen Zugriff auf das WordPress-System erhalten.
  • Quelle: NVD

Authentication Bypass im RegistrationMagic-Plugin für WordPress

Das RegistrationMagic-Plugin für WordPress ist anfällig für Authentication Bypass durch unzureichende Überprüfung der Datenauthentizität in allen Versionen bis einschließlich 6.0.8.6. Der PayPal IPN Callback-Handler ist als nopriv-AJAX-Aktion ohne Authentifizierung oder Nonce-Anforderung registriert. Der Handler aktualisiert den Zahlungsprotokoll-Datenbankeintrag mit vom Angreifer kontrollierten POST-Daten – einschließlich payment_status und einem die Ziel-user_id kodierenden custom-Feld – bevor die PayPal IPN-Validierung durchgeführt wird. Dies ermöglicht unauthentifizierten Angreifern, sich als beliebige WordPress-Nutzer – einschließlich Administratoren – zu authentifizieren, indem sie eine gefälschte IPN-Anfrage einreichen, die den user_id in einem Zahlungsprotokolleintrag überschreibt, und anschließend die Erfolgs-URL mit einem legitim erworbenen Sicherheitshash aufrufen.

  • Priorität: Hoch (kritisch)
  • Datum: 27.06.2026
  • CVE: CVE-2026-9242
  • Für wen relevant: Unternehmen, die das RegistrationMagic-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Unauthentifizierte Angreifer können sich Administratorrechte erschleichen und vollständigen Zugriff auf das WordPress-System erlangen.
  • Quelle: NVD

Stored XSS im Ivory Search-Plugin für WordPress

Das Ivory Search-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über die Einstellungen menu_title und menu_magnifier_color in allen Versionen bis einschließlich 5.5.15 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escape-Mechanismen. Dies ermöglicht authentifizierten Angreifern mit Administratorrechten, beliebige Web-Skripte in Seiten einzubetten, die bei jedem Aufruf der betroffenen Seite ausgeführt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-11356
  • Für wen relevant: Unternehmen, die das Ivory Search-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können persistenten Schadcode in die Website einschleusen, der bei jedem Seitenaufruf ausgeführt wird und so Nutzer kompromittieren kann.
  • Quelle: NVD

SQL-Injection im Groundhogg-Plugin für WordPress

Das Groundhogg-Plugin für WordPress ist anfällig für generische SQL-Injection über den query[select]-Parameter in allen Versionen bis einschließlich 4.5.5 aufgrund unzureichender Escape-Mechanismen und fehlender Vorbereitung der SQL-Abfrage. Dies ermöglicht authentifizierten Angreifern mit Sales Representative-Rechten oder höher, zusätzliche SQL-Abfragen an bestehende Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren. Der bereinigte Contact_Query-Pfad kann umgangen werden, indem ein ungültiger Filtertyp bereitgestellt wird, wodurch die Ausführung in den unsanitisierten Legacy_Contact_Query-Pfad fällt.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-13333
  • Für wen relevant: Unternehmen, die das Groundhogg-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können Datenbankinhalte auslesen und möglicherweise sensible Informationen wie Nutzerdaten oder Geschäftsgeheimnisse kompromittieren.
  • Quelle: NVD

Authorization Bypass im NEX-Forms-Plugin für WordPress

Das NEX-Forms-Plugin für WordPress ist anfällig für Authorization Bypass in allen Versionen bis einschließlich 9.2.2. Das Plugin überprüft nicht ordnungsgemäß, ob ein Nutzer zur Durchführung einer Aktion berechtigt ist. Dies ermöglicht unauthentifizierten Angreifern, sequentielle Report-IDs zu enumerieren und vollständige Formular-Eingabedaten – einschließlich Namen, E-Mail-Adressen, Telefonnummern, Postadressen, Zahlungsdetails und hochgeladene Dateipfade – für beliebige gespeicherte Berichte auf der Website herunterzuladen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-12404
  • Für wen relevant: Unternehmen, die das NEX-Forms-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können sensible Nutzer- und Geschäftsdatensätze abgreifen, was zu Datenschutzverletzungen und Compliance-Verstößen führen kann.
  • Quelle: NVD

Unautorisierte Datenänderungen im Product Specifications for WooCommerce-Plugin

Das Product Specifications for WooCommerce-Plugin für WordPress ist anfällig für unautorisierte Erstellung, Änderung und Löschung von Daten in allen Versionen bis einschließlich 0.8.9. Dies ist auf fehlende Berechtigungsprüfungen und fehlende Nonce-Verifizierung in den __invoke()-Methoden der AttributeGroupController- und AttributeController-Klassen zurückzuführen, die an die AJAX-Aktionen dwps_modify_groups und dwps_modify_attributes gebunden sind. Dies ermöglicht authentifizierten Angreifern mit Subscriber-Rechten oder höher, beliebige Produktspezifikationsgruppen und -attribute zu erstellen, zu bearbeiten und zu löschen, was Geschäftsdatensätze korrumpiert und die Darstellung der Website beeinträchtigt.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-11364
  • Für wen relevant: Unternehmen, die das Product Specifications for WooCommerce-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können Geschäftsdatensätze manipulieren, was zu Datenverlust, Integritätsverlust und potenziellen finanziellen Schäden führen kann.
  • Quelle: NVD

Stored XSS im Gutenverse-Plugin für WordPress

Das Gutenverse-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über Admin-Einstellungen in allen Versionen bis einschließlich 3.8.0 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escape-Mechanismen. Dies ermöglicht authentifizierten Angreifern mit Editor-Rechten oder höher, beliebige Web-Skripte in Seiten einzubetten, die bei jedem Aufruf der betroffenen Seite ausgeführt werden. Betroffen sind nur Multi-Site-Installationen und Installationen, bei denen unfiltered_html deaktiviert wurde.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-12399
  • Für wen relevant: Unternehmen, die das Gutenverse-Plugin für WordPress in Multi-Site-Umgebungen oder mit deaktiviertem unfiltered_html einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können persistenten Schadcode in die Website einschleusen, der bei jedem Seitenaufruf ausgeführt wird und so Nutzer kompromittieren kann.
  • Quelle: NVD

Stored XSS im Page Builder by SiteOrigin-Plugin

Das Page Builder by SiteOrigin-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über den panels_data-Parameter in allen Versionen bis einschließlich 2.34.3 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escape-Mechanismen. Dies ermöglicht authentifizierten Angreifern mit Contributor-Rechten oder höher, beliebige Web-Skripte in Seiten einzubetten, die bei jedem Aufruf der betroffenen Seite ausgeführt werden. Die Nonce- und edit_post-Berechtigungsprüfungen während des Speicherns werden von Contributoren für ihre eigenen Beiträge erfüllt, und der panels_data-Wert wird als Post-Meta gespeichert – außerhalb des Gültigkeitsbereichs von WordPress’s unfiltered_html-Ausnahme – sodass kein wp_kses-Fallback die unsanitisierten Inhalte verhindert.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-13295
  • Für wen relevant: Unternehmen, die das Page Builder by SiteOrigin-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können persistenten Schadcode in die Website einschleusen, der bei jedem Seitenaufruf ausgeführt wird und so Nutzer kompromittieren kann.
  • Quelle: NVD

Authorization Bypass im Quiz and Survey Master-Plugin

Das Quiz and Survey Master (QSM)-Plugin für WordPress ist anfällig für Authorization Bypass in allen Versionen bis einschließlich 11.1.4. Das Plugin überprüft nicht ordnungsgemäß, ob ein Nutzer zur Durchführung einer Aktion berechtigt ist. Dies ermöglicht authentifizierten Angreifern mit Contributor-Rechten oder höher, Quiz-Ausgabenvorlagen in der mlw_quiz_output_templates-Datenbanktabelle zu erstellen, zu bearbeiten und zu löschen, einschließlich dem Speichern unsanitisierter HTML-Inhalte wie beliebiger Skript-Tags.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-9233
  • Für wen relevant: Unternehmen, die das Quiz and Survey Master-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können persistente Schadskripte in die Website einschleusen, die bei jedem Aufruf der betroffenen Seiten ausgeführt werden und Nutzer kompromittieren können.
  • Quelle: NVD

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own – mehrere Stellen betroffen

Bei Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. Stored XSS im Dokan-Plugin für WordPress

Das Dokan-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über die Produkt-SKU in allen Versionen bis einschließlich 5.0.4 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escape-Mechanismen. Dies ermöglicht authentifizierten Angreifern mit Custom-Rechten oder höher, beliebige Web-Skripte in Seiten einzubetten, die bei jedem Aufruf der betroffenen Seite ausgeführt werden. Der schädliche Payload wird Besuchern der Website – einschließlich unauthentifizierter Nutzer – zugestellt, wenn das Shop-Such-Widget die unsanitisierte AJAX-Antwort-HTML über jQuery’s .html()-Methode in den DOM einfügt.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-11783
  • Für wen relevant: Unternehmen, die das Dokan-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können persistente Schadskripte in die Website einschleusen, die bei jedem Seitenaufruf ausgeführt werden und so Nutzer kompromittieren können.
  • Quelle: NVD

2. Insecure Direct Object Reference im Dokan-Plugin für WordPress

Das Dokan-Plugin für WordPress ist anfällig für Insecure Direct Object Reference über den id-Parameter in allen Versionen bis einschließlich 5.0.4 aufgrund fehlender Validierung eines nutzerkontrollierten Schlüssels. Dies ermöglicht authentifizierten Angreifern mit Subscriber-Rechten oder höher, die Produkte beliebiger anderer Anbieter – einschließlich unveröffentlichter Entwürfe und ausstehender Listungen – auszulesen und dabei Produktnamen, Preise, SKUs und Beschreibungen anderer Anbieter offenzulegen. Die Berechtigungsrückrufe für den Collection-Endpunkt und den Einzelobjekt-Endpunkt überprüfen lediglich die generische Anbieterfähigkeit, die jeder Anbieter besitzt, anstatt zu bestätigen, dass die angeforderte Autor-ID oder der Produktbesitz mit dem authentifizierten Nutzer übereinstimmt.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-11987
  • Für wen relevant: Unternehmen, die das Dokan-Plugin für WordPress als Multivendor-Marktplatz einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können sensible Geschäfts- und Wettbewerbsdaten anderer Anbieter auslesen, was zu Wettbewerbsnachteilen und Compliance-Verstößen führen kann.
  • Quelle: NVD

Unautorisierter Plugin-Zugriff im Spexo-Theme für WordPress

Das Spexo-Theme für WordPress ist anfällig für unautorisierten Zugriff aufgrund fehlender Berechtigungsprüfung bei der activate_plugin-Funktion in allen Versionen bis einschließlich 2.0.11. Dies ermöglicht authentifizierten Angreifern mit Subscriber-Rechten oder höher, eine begrenzte Anzahl von Plugins zu aktivieren.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-12471
  • Für wen relevant: Unternehmen, die das Spexo-Theme für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können unerwünschte Plugins aktivieren, was zu Sicherheitsrisiken, Funktionsstörungen oder weiteren Kompromittierungen führen kann.
  • Quelle: NVD

Unautorisierte Datenänderungen im Frisbii Pay-Plugin für WordPress

Das Frisbii Pay-Plugin für WordPress ist anfällig für unautorisierte Datenänderungen aufgrund fehlender Berechtigungsprüfungen bei den Funktionen upload_csv und process_batch in allen Versionen bis einschließlich 1.8.9. Dies ermöglicht authentifizierten Angreifern mit Subscriber-Rechten oder höher, beliebige CSV-Daten hochzuladen und WooCommerce-Zahlungstoken, Postmeta- und Bestell-Meta-Einträge zu überschreiben.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-3462
  • Für wen relevant: Unternehmen, die das Frisbii Pay-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können Zahlungs- und Bestelldaten manipulieren, was zu finanziellen Verlusten, Betrug oder Compliance-Verstößen führen kann.
  • Quelle: NVD

Missing Authorization im WP Full Stripe Free-Plugin für WordPress

Das WP Full Stripe Free-Plugin für WordPress ist anfällig für fehlende Autorisierung in allen Versionen bis einschließlich 8.4.3 über die AJAX-Aktion wpfs_update_failed_payment_status. Der Handler ist sowohl über wp_ajax_ als auch wp_ajax_nopriv_ registriert, führt jedoch keine Berechtigungsprüfung, Nonce-Verifizierung oder eingeloggte Prüfung durch, bevor die Funktion update_failed_payment_status() mit vom Angreifer kontrollierten POST-Parametern aufgerufen wird. Dies ermöglicht unauthentifizierten Angreifern, die eine gültige Stripe Payment Intent ID für die Zielwebsite erlangen können (Payment Intent IDs werden im Browser des Kunden während normaler Stripe.js-Checkout-Flows exponiert), Zahlungsdatensätze in der Datenbank der Website zu manipulieren, erfolgreiche Zahlungen als fehlgeschlagen zu markieren und Fehlercodes sowie -meldungen mit vom Angreifer bereitgestellten Werten zu überschreiben.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 27.06.2026
  • CVE: CVE-2026-12432
  • Für wen relevant: Unternehmen, die das WP Full Stripe Free-Plugin für WordPress einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Angreifer können Zahlungsstatus manipulieren, was zu finanziellen Verlusten, Betrug oder Compliance-Verstößen führen kann.
  • Quelle: NVD
Post Views: 10

Ähnliche Beiträge

Security-Briefing 26.06.2026: Kritische Schwachstellen in Flowise, Cisco, WordPress-Plugins und Chrome-Browser-Updates

Security-Briefing 25.06.2026: Kritische Schwachstellen in n8n, WordPress-Plugins und IBM-Produkten

Security-Briefing 24.06.2026: Kritische Schwachstellen in Ubiquiti UniFi OS und weiteren IT-Systemen

Über Julka

Zeige alle Beiträge von Julka →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert