Security-Briefing 02.07.2026: Kritische Schwachstellen in Microsoft SharePoint und WordPress-Plugins

Aktuelle sicherheitsrelevante Meldungen aus offiziellen Quellen, eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Besonders aktuelle Sicherheitslücken für KMU stehen dabei im Fokus. Technische Details stehen jeweils in der verlinkten Quelle.

Microsoft SharePoint Server Deserialisierungsschwachstelle

Microsoft SharePoint Server enthält eine Schwachstelle bei der Deserialisierung nicht vertrauenswürdiger Daten, die es einem autorisierten Angreifer ermöglicht, über das Netzwerk Code auszuführen. Die Schwachstelle ist bereits aktiv ausgenutzt.

  • Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
  • Datum: 01.07.2026
  • CVE: CVE-2026-45659
  • Für wen relevant: Unternehmen, die Microsoft SharePoint Server einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung des Servers und damit verbundenen Systemen führen.
  • Quelle: CISA KEV

WordPress WP-BusinessDirectory Plugin Dateilöschung

Das WP-BusinessDirectory-Plugin für WordPress ist anfällig für unauthentifizierte willkürliche Dateilöschung in Versionen bis einschließlich 4.0.1. Dies liegt an unzureichender Pfadvalidierung in der remove()-Methode der JBusinessDirectoryControllerUpload-Klasse. Der Endpunkt task=upload.remove ist ohne Authentifizierung über das Frontend-Routingsystem des Plugins zugänglich. Der Parameter _filename wird mit RAW-Filter akzeptiert (keine Sanitierung), und die Hilfsfunktion makePathFile() normalisiert nur Verzeichnistrennzeichen, ohne Pfad-Traversal-Sequenzen zu entfernen. In Kombination mit dem Parameter _path_type=2, der das Basisverzeichnis auf den Plugin-Website-Ordner setzt, kann ein Angreifer _filename-Werte mit ../-Sequenzen angeben, um außerhalb des Plugin-Verzeichnisses zu traversieren und PHP's unlink() auf beliebige Dateien aufzurufen – einschließlich wp-config.php oder anderen kritischen Serverdateien.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-6070
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem WP-BusinessDirectory-Plugin. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer kann durch Löschen kritischer Dateien die Integrität der Website zerstören oder weitere Angriffe vorbereiten.
  • Quelle: NVD

Guardian language-system – mehrere Stellen betroffen

Bei Guardian language-system sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. Guardian language-system SQL-Injection in job_info.php

Guardian language-system übergibt den GET-Parameter id direkt in eine nicht bereinigte SQL-Abfrage in job_info.php (Zeile 16): SELECT * FROM jobs where id = '…'. Es ist keine Authentifizierung erforderlich. Ein unauthentifizierter Angreifer kann eine Error-based SQL-Injection durchführen, um Datenbankversion, aktuellen Benutzer, Schemanamen und Tabelleninhalte zu extrahieren.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34099
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Extraktion sensibler Daten kann zu weitergehenden Angriffen oder Datenlecks führen.
  • Quelle: NVD

2. Guardian language-system SQL-Injection in media.php

Guardian language-system übergibt den GET-Parameter id direkt in eine nicht bereinigte SQL-Abfrage in media.php (Zeile 17): SELECT id, filename, extension, type, duration, owner, private FROM files where id = '…'. Ein authentifizierter Angreifer kann eine Error-based SQL-Injection durchführen, um Datenbankinhalte zu extrahieren.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34100
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Extraktion sensibler Daten kann zu weitergehenden Angriffen oder Datenlecks führen.
  • Quelle: NVD

3. Guardian language-system SQL-Injection in translate_text.php

Guardian language-system übergibt den GET-Parameter id direkt in eine nicht bereinigte SQL-Abfrage in translate_text.php (Zeile 15): SELECT id, filename, extension, type FROM files where id = '…'. Ein authentifizierter Angreifer kann eine Error-based SQL-Injection durchführen, um Datenbankinhalte zu extrahieren.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34105
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Extraktion sensibler Daten kann zu weitergehenden Angriffen oder Datenlecks führen.
  • Quelle: NVD

4. Guardian language-system Remote Code Execution in subtitles.php

Guardian language-system übergibt den GET-Parameter id direkt in einen PHP exec()-Aufruf in subtitles.php (Zeile 19) ohne Sanitierung: exec("php jobs/subtitle_rendering.php …"). Es ist keine Authentifizierung erforderlich. Ein unauthentifizierter Angreifer kann Shell-Metazeichen an den id-Parameter anhängen, um beliebige Betriebssystembefehle auf dem Server auszuführen.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34106
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Ausführung beliebiger Befehle ermöglicht die vollständige Kompromittierung des Servers.
  • Quelle: NVD

5. Guardian language-system Remote Code Execution in text.php

Guardian language-system übergibt den GET-Parameter id direkt in einen PHP exec()-Aufruf in text.php (Zeile 15) ohne Sanitierung: exec("php jobs/text.php …"). Es ist keine Authentifizierung erforderlich. Ein unauthentifizierter Angreifer kann Shell-Metazeichen an den id-Parameter anhängen, um beliebige Betriebssystembefehle auf dem Server auszuführen.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34108
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Ausführung beliebiger Befehle ermöglicht die vollständige Kompromittierung des Servers.
  • Quelle: NVD

6. Guardian language-system Remote Code Execution in translate_text.php

Guardian language-system übergibt den GET-Parameter id direkt in einen PHP exec()-Aufruf in translate_text.php (Zeile 18) ohne Sanitierung: exec("php jobs/translate_text.php …"). Es ist keine Authentifizierung erforderlich. Ein unauthentifizierter Angreifer kann Shell-Metazeichen an den id-Parameter anhängen, um beliebige Betriebssystembefehle auf dem Server auszuführen.

  • Priorität: Hoch (kritisch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-34114
  • Für wen relevant: Betreiber von Websites mit installiertem Guardian language-system. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Die Ausführung beliebiger Befehle ermöglicht die vollständige Kompromittierung des Servers.
  • Quelle: NVD

WordPress WPBot Plugin Stored XSS

Das WPBot – AI ChatBot for Live Support, Lead Generation, AI Services-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über den Parameter 'conversation' in allen Versionen bis einschließlich 8.4.9 aufgrund unzureichender Eingabesanitierung und Ausgabe-Escape-Mechanismen. Dies ermöglicht unauthentifizierten Angreifern das Injizieren beliebiger Web-Skripte in Seiten, die bei jedem Zugriff auf eine infizierte Seite ausgeführt werden. Der für die Authentifizierung erforderliche AJAX Nonce wird öffentlich auf jeder Frontend-Seite über wp_localize_script ausgegeben und ist damit frei zugänglich.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-13731
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem WPBot-Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer kann durch injizierte Skripte sensible Daten von Besuchern stehlen oder deren Sitzungen übernehmen.
  • Quelle: NVD

WordPress Youtube Showcase Plugin Arbitrary Function Call

Das Youtube Showcase-Plugin für WordPress ist anfällig für willkürlichen Funktionsaufruf in Versionen bis einschließlich 4.0.3 aufgrund unzureichender Validierung des Parameters 'path' im AJAX-Handler emd_delete_file() in includes/common-functions.php. Der Benutzerwert wird durch sanitize_text_field() gefiltert, ein abschließendes '_PLUGIN_DIR' wird entfernt, und der Wert wird anschließend als PHP-Funktionsname ohne Argumente über $sess_name() aufgerufen. Der Handler ist nur durch einen Nonce geschützt – eine current_user_can()-Prüfung fehlt. Der Nonce wird auf jeder Frontend-Seite ausgegeben, die ein Formular-Shortcode mit Dateifeldern rendert. Dies ermöglicht authentifizierten Angreifern mit Subscriber-Zugriff oder höher, beliebige nullstellige PHP-Funktionen aufzurufen, was zu Offenlegung sensibler Informationen und potenzieller weiterer Kompromittierung führt.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-12923
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Youtube Showcase-Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Der Aufruf beliebiger Funktionen kann zu Datenlecks oder Systemkompromittierung führen.
  • Quelle: NVD

WordPress Visualizer Plugin Autorisierungsbypass

Das Visualizer – Tables & Charts Manager with Built-in AI Generator-Plugin für WordPress ist anfällig für Autorisierungsbypass in allen Versionen bis einschließlich 4.0.3. Dies liegt daran, dass das Plugin nicht korrekt überprüft, ob ein Benutzer zur Durchführung einer Aktion berechtigt ist. Dies ermöglicht unauthentifizierten Angreifern den Zugriff auf und Export der Inhalte beliebiger Visualizer-Charts auf der Website – einschließlich Entwürfe, private, ausstehende, zukünftige oder gelöschte Charts – als CSV, Excel oder HTML über den REST-Endpunkt /wp-json/visualizer/v1/action/{chart}/{type}/.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-13468
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Visualizer-Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Der unbefugte Zugriff auf Chart-Inhalte kann zu Datenlecks oder Missbrauch führen.
  • Quelle: NVD

WordPress Custom Payment Gateways Plugin Stored XSS

Das Custom Payment Gateways for WooCommerce-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über den Parameter 'alg_wc_cpg_input_fields' in allen Versionen bis einschließlich 2.1.0 aufgrund unzureichender Eingabesanitierung und Ausgabe-Escape-Mechanismen. Dies ermöglicht unauthentifizierten Angreifern das Injizieren beliebiger Web-Skripte in Seiten, die bei jedem Zugriff auf eine infizierte Seite ausgeführt werden. Die Schwachstelle ist durch unauthentifizierte Gastbenutzer über eine manipulierte Checkout-POST-Anfrage ausnutzbar, ohne dass benutzerdefinierte Eingabefelder im Plugin konfiguriert sein müssen.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-7517
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Custom Payment Gateways-Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer kann durch injizierte Skripte sensible Daten von Besuchern stehlen oder deren Sitzungen übernehmen.
  • Quelle: NVD

Gradio Path Traversal in FileExplorer

Gradio vor Version 6.16.0 enthält eine Path-Traversal-Schwachstelle in der preprocess()-Methode der FileExplorer-Komponente, die unauthentifizierten Angreifern das Entkommen aus dem konfigurierten Root-Verzeichnis ermöglicht. Angreifer können manipulierte Pfadsegmente bereitstellen, die dazu führen, dass os.path.join das root_dir-Präfix vollständig verwirft, was zu beliebigem Dateizugriff oder Offenlegung sensibler Dateien außerhalb des vorgesehenen Verzeichnisses führt.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-49119
  • Für wen relevant: Betreiber von Anwendungen, die Gradio mit FileExplorer-Komponente einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Der Zugriff auf sensible Dateien außerhalb des vorgesehenen Bereichs kann zu Datenlecks oder Systemkompromittierung führen.
  • Quelle: NVD

Horde IMP Path Traversal in lib/Compose.php

Horde IMP vor Version 7.0.1 enthält eine Path-Traversal-Schwachstelle in lib/Compose.php, die authentifizierten Angreifern das Lesen beliebiger Dateien vom Server-Dateisystem ermöglicht. Dies geschieht durch Einbetten von Traversal-Sequenzen nach einem CKEditor-Pfadpräfix in img src-URLs. Angreifer können die Präfixvalidierung durch Anhängen von Sequenzen wie Traversal-Segmenten nach dem übereinstimmenden Präfix umgehen, wodurch file_get_contents() sensible Dateien liest, deren Inhalte dann als MIME-Teile in ausgehenden E-Mails exfiltriert werden. Auch unauthentifizierte Ausnutzung ist über CSRF gegen eine aktive authentifizierte Sitzung möglich.

  • Priorität: Erhöht (hoch)
  • Datum: 01.07.2026
  • CVE: CVE-2026-58451
  • Für wen relevant: Betreiber von Horde IMP-Installationen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Der Zugriff auf sensible Dateien kann zu Datenlecks oder Missbrauch führen.
  • Quelle: NVD

WordPress JetWidgets Plugin Stored XSS

Das JetWidgets For Elementor-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting in Versionen bis einschließlich 1.0.21 aufgrund unzureichender Ausgabe-Escape-Mechanismen und fehlender serverseitiger Validierung der animation_effect-Einstellung des Animated Box-Widgets, bevor sie in einem HTML-Klassenattribut gerendert wird. Dies ermöglicht authentifizierten Angreifern mit Autor-Zugriff oder höher, beliebige Web-Skripte in Seiten zu injizieren, die bei jedem Zugriff auf eine infizierte Seite ausgeführt werden.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 01.07.2026
  • CVE: CVE-2026-11380
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem JetWidgets-Plugin. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Ein Angreifer kann durch injizierte Skripte sensible Daten von Besuchern stehlen oder deren Sitzungen übernehmen.
  • Quelle: NVD

WordPress GiveWP Plugin Cross-Site Request Forgery

Das GiveWP-Plugin für WordPress ist anfällig für Cross-Site Request Forgery in Versionen bis einschließlich 4.15.3 aufgrund fehlender Nonce-Validierung in der Funktion give_set_notification_status_handler(). Dies ermöglicht unauthentifizierten Angreifern, Spenden-E-Mail-Benachrichtigungen zu deaktivieren, sofern sie einen Website-Administrator dazu bringen können, eine Aktion wie das Klicken auf einen Link auszuführen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 01.07.2026
  • CVE: CVE-2026-11981
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem GiveWP-Plugin. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Die Deaktivierung von Benachrichtigungen kann zu finanziellen Verlusten oder Missbrauch führen.
  • Quelle: NVD

WordPress Kadence Blocks Plugin Autorisierungsbypass

Das Kadence Blocks — Page Builder Toolkit for Gutenberg Editor-Plugin für WordPress ist anfällig für Autorisierungsbypass in allen Versionen bis einschließlich 3.7.7. Dies liegt daran, dass das Plugin nicht korrekt überprüft, ob ein Benutzer zur Durchführung einer Aktion berechtigt ist. Dies ermöglicht authentifizierten Angreifern mit Beitrags-Zugriff oder höher, beliebige Medienbibliotheks-Anhänge zu erstellen, indem Remote-Bilder in das Upload-Verzeichnis der Website heruntergeladen werden, und so die Berechtigungsgrenze upload_files zu umgehen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 01.07.2026
  • CVE: CVE-2026-12902
  • Für wen relevant: Betreiber von WordPress-Websites mit installiertem Kadence Blocks-Plugin. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Der unautorisierte Upload von Dateien kann zu Missbrauch oder Systemkompromittierung führen.
  • Quelle: NVD

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert