Security-Briefing 17.07.2026: WordPress-Plugins mit Authentifizierungslücken und weitere kritische Schwachstellen

Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

WordPress-Plugin SAML Single Sign On: Authentifizierungsbypass durch SAML-Signaturverwirrung

Das WordPress-Plugin SAML Single Sign On – SSO Login ist in allen Versionen bis einschließlich 5.4.3 anfällig für einen Authentifizierungsbypass durch SAML-Signaturverwirrung. Die Schwachstelle entsteht, weil die Funktion `Mo_SAML_Utilities::mo_saml_cast_key()` den `SignatureMethod`-Algorithmus direkt aus dem angreifergesteuerten `SAMLResponse`-Parameter übernimmt, statt den lokal konfigurierten Algorithmus zu erzwingen. Dadurch wird der RSA-Öffentlichkeitsschlüssel des Identitätsanbieters als HMAC-SHA1-Shared-Secret umgewandelt und die gefälschte Signatur daran validiert. Dies ermöglicht unauthentifizierten Angreifern, beliebige WordPress-Konten – einschließlich Administratoren – zu übernehmen und gültige Authentifizierungscookies zu erhalten.

  • Priorität: Hoch (kritisch (CVSS 9.8))
  • Datum: 16.07.2026
  • CVE: CVE-2026-15013
  • Für wen relevant: Unternehmen, die das WordPress-Plugin SAML Single Sign On – SSO Login einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur vollständigen Übernahme von WordPress-Administratorkonten und damit zum Verlust der Kontrolle über die Website führen.
  • Quelle: NVD

WordPress-Plugin Digits: Privilegieneskalation durch fehlende Autorisierungsprüfung

Das WordPress-Plugin Digits: WordPress Mobile Number Signup and Login ist in allen Versionen bis einschließlich 9.1.0.5 anfällig für eine Privilegieneskalation. Die Schwachstelle entsteht durch fehlende Autorisierungs- und Rollenvalidierung in der Funktion `dig_update_wpwc_custom_fields()`. Authentifizierte Angreifer mit mindestens Subscriber-Rechten können durch das Übermitteln eines gefälschten `digits_reg_userrole`-Werts während der Profilaktualisierung ihre Rechte auf Administratorenebene eskalieren, sofern der Website-Administrator das integrierte DIGITS-Benutzerrollenfeld konfiguriert hat.

  • Priorität: Erhöht (hoch (CVSS 8.8))
  • Datum: 16.07.2026
  • CVE: CVE-2026-13741
  • Für wen relevant: Unternehmen, die das WordPress-Plugin Digits: WordPress Mobile Number Signup and Login einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff ermöglicht die Übernahme von Administratorrechten und damit die vollständige Kontrolle über die WordPress-Installation.
  • Quelle: NVD

WordPress-Plugin Uncanny Automator: Willkürliche Dateilöschung durch unzureichende Pfadvalidierung

Das WordPress-Plugin Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder ist in allen Versionen bis einschließlich 7.3.1.4 anfällig für willkürliche Dateilöschung. Die Schwachstelle entsteht durch unzureichende Validierung von Dateipfaden in der Funktion `fr_token`. Unauthentifizierte Angreifer können beliebige Dateien auf dem Server löschen, was bei Löschung kritischer Dateien wie wp-config.php leicht zu einer Remote-Code-Ausführung führen kann. Die Ausnutzung erfordert ein mit Uncanny Automator verknüpftes Forminator-Formular, das für 'Alle' konfiguriert ist, sodass unauthentifizierte Formularübermittlungen den schädlichen serialisierten Payload liefern können.

  • Priorität: Erhöht (hoch (CVSS 8.1))
  • Datum: 16.07.2026
  • CVE: CVE-2026-15008
  • Für wen relevant: Unternehmen, die das WordPress-Plugin Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur Löschung kritischer Systemdateien und im schlimmsten Fall zur vollständigen Kompromittierung des Servers führen.
  • Quelle: NVD

WordPress-Plugin WPFunnels: Privilegieneskalation durch unvalidierte Optionenaktualisierung

Das WordPress-Plugin WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell ist in allen Versionen bis einschließlich 3.12.8 anfällig für eine Privilegieneskalation durch willkürliche Optionenaktualisierung. Die Schwachstelle entsteht, weil der REST-Callback `update_settings()` den Parameter `group_id` nicht gegen eine erlaubte Liste von Optionsnamen validiert, bevor er direkt an `get_option()` und `update_option()` übergeben wird. Dies ermöglicht authentifizierten Angreifern mit der `wpf_manage_funnels`-Berechtigung oder höher, ihre Rechte auf Administratorenebene zu eskalieren, indem sie eine manipulierte Rollendefinition mit beliebigen Berechtigungen in die `wp_user_roles`-Option schreiben.

  • Priorität: Erhöht (hoch (CVSS 8.8))
  • Datum: 16.07.2026
  • CVE: CVE-2026-15103
  • Für wen relevant: Unternehmen, die das WordPress-Plugin WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell einsetzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff ermöglicht die Übernahme von Administratorrechten und damit die vollständige Kontrolle über die WordPress-Installation.
  • Quelle: NVD

Windows-Client und -Server Secure Access: Privilegieneskalation durch Installationspfadfehler

Der Windows-Client und -Server von Secure Access ist in Versionen vor 14.55 anfällig für eine Privilegieneskalation durch eine fehlerhafte Konfiguration der Installationspfade. Angreifer mit lokalem Zugriff auf Client oder Server können diese Schwachstelle ausnutzen, um ihre Rechte auf Administratorenebene zu eskalieren, wenn Secure Access in einem nicht-standardmäßigen Pfad installiert ist.

  • Priorität: Erhöht (hoch (CVSS 8.5))
  • Datum: 16.07.2026
  • CVE: CVE-2026-40952
  • Für wen relevant: Betreiber von Windows-Systemen mit installiertem Secure Access Client oder Server. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff ermöglicht die vollständige Übernahme des betroffenen Systems durch lokale Rechteausweitung.
  • Quelle: NVD

Patchday: Sicherheitsupdates für Microsoft Office

Am 14. Juli 2026 hat Microsoft mehrere sicherheitsrelevante Updates für Microsoft Office veröffentlicht. Neben aktuellen Versionen wurden auch Sicherheitsupdates für die nicht mehr unterstützte Version Microsoft Office 2016 bereitgestellt. Die veröffentlichten Patches adressieren bekannte Schwachstellen, die bei Ausnutzung zu Sicherheitsrisiken führen können.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Unternehmen und Privatnutzer, die Microsoft Office einsetzen. (für KMU: mittel – nur für Betroffene)
  • Warum wichtig: Nicht installierte Updates können zu Sicherheitslücken führen, die bei Ausnutzung zu Datenverlust oder Systemkompromittierung führen können.
  • Quelle: BornCity

Keycloak – mehrere Stellen betroffen

Bei Keycloak sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. Keycloak: Unzureichende Validierung deaktivierter Benutzerkonten bei JWT-Autorisierung

In Keycloak besteht eine Schwachstelle, die bei aktivierter Vorschau-Funktion für JSON-Web-Token-(JWT)-Autorisierungsgrants auftritt. Wenn ein Benutzerkonto deaktiviert ist, validiert Keycloak den deaktivierten Status des Benutzers während der JWT-Autorisierungsgrant-Verarbeitung nicht korrekt. Ein entfernter Angreifer mit geringen Berechtigungen kann diese unsachgemäße Zugriffskontrolle ausnutzen, indem er ein gültiges Assertion-Token eines externen Identitätsanbieters vorlegt, um ein JWT für einen deaktivierten Benutzer zu erhalten. Dies ermöglicht unbefugten Zugriff auf sensible Ressourcen.

  • Priorität: Erhöht (hoch (CVSS 8.1))
  • Datum: 16.07.2026
  • CVE: CVE-2026-1609
  • Für wen relevant: Betreiber von Keycloak-Identitäts- und Zugriffsmanagement-Systemen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zum unbefugten Zugriff auf sensible Ressourcen durch Ausnutzung deaktivierter, aber noch gültiger Tokens führen.
  • Quelle: NVD

2. Keycloak: Mehrere Schwachstellen ermöglichen Privilegieneskalation und Umgehung von Sicherheitsmaßnahmen

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Keycloak ausnutzen, um seine Privilegien zu erhöhen und Sicherheitsmaßnahmen zu umgehen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von Keycloak-Identitäts- und Zugriffsmanagement-Systemen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur Übernahme von Benutzerkonten und Umgehung von Sicherheitsmechanismen führen.
  • Quelle: BSI CERT-Bund

Grafana: Mehrere Schwachstellen ermöglichen Denial-of-Service oder Privilegieneskalation

Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Grafana ausnutzen, um einen Denial-of-Service-Angriff durchzuführen oder sich erhöhte Berechtigungen zu verschaffen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von Grafana-Installationen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zu Systemausfällen oder der Übernahme von Administratorrechten führen.
  • Quelle: BSI CERT-Bund

NGINX NGINX Plus: Mehrere Schwachstellen ermöglichen Codeausführung, Denial-of-Service und Informationspreisgabe

Ein Angreifer kann mehrere Schwachstellen in NGINX NGINX Plus ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service-Angriff durchzuführen, Daten zu manipulieren und Informationen offenzulegen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von NGINX NGINX Plus-Webservern. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zu Systemkompromittierung, Dienstverfügbarkeitsproblemen oder Datenverlust führen.
  • Quelle: BSI CERT-Bund

Vaultwarden: Mehrere Schwachstellen ermöglichen Erlangen von Benutzerrechten und Informationspreisgabe

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Vaultwarden ausnutzen, um Benutzerrechte zu erlangen und Informationen offenzulegen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von Vaultwarden-Passwortmanager-Instanzen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zum unbefugten Zugriff auf Benutzerdaten und sensible Informationen führen.
  • Quelle: BSI CERT-Bund

MongoDB: Mehrere Schwachstellen ermöglichen Codeausführung, Datenmanipulation und Informationspreisgabe

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in MongoDB ausnutzen, um beliebigen Programmcode auszuführen, Daten zu manipulieren, vertrauliche Informationen offenzulegen oder einen Denial-of-Service-Zustand zu verursachen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von MongoDB-Datenbanken. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zu vollständiger Systemkompromittierung, Datenverlust oder Dienstverfügbarkeitsproblemen führen.
  • Quelle: BSI CERT-Bund

FreeRDP: Mehrere Schwachstellen ermöglichen Codeausführung, Umgehung von Sicherheitsmaßnahmen und Informationspreisgabe

Ein Angreifer kann mehrere Schwachstellen in FreeRDP ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren oder einen Denial-of-Service-Zustand auszulösen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von FreeRDP-Remote-Desktop-Lösungen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung von Systemen oder zur Ausnutzung von Remote-Code führen.
  • Quelle: BSI CERT-Bund

Wazuh: Mehrere Schwachstellen ermöglichen Privilegieneskalation, Denial-of-Service und Umgehung von Sicherheitsvorkehrungen

Ein Angreifer kann mehrere Schwachstellen in Wazuh ausnutzen, um seine Privilegien zu erhöhen, einen Denial-of-Service-Angriff durchzuführen, Informationen offenzulegen und Sicherheitsvorkehrungen zu umgehen. Die genauen Auswirkungen und Ausnutzungswege werden in den offiziellen Sicherheitshinweisen des Anbieters detailliert beschrieben.

  • Priorität: Erhöht (hoch)
  • Datum: 16.07.2026
  • Für wen relevant: Betreiber von Wazuh-Sicherheitsmonitoring-Systemen. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff kann zur Übernahme des Überwachungssystems, Datenverlust oder Systemausfällen führen.
  • Quelle: BSI CERT-Bund

Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert