Security-Briefing 11.07.2026: Kritische Lücken in JetBrains IDEA, WordPress-Plugins und Zimbra Web Client

Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

Code-Ausführung in JetBrains IntelliJ IDEA durch Path-Traversal

In JetBrains IntelliJ IDEA vor Version 2026.1.4 und 2026.2 war die Ausführung von Code über einen Pfad-Traversal-Angriff bei der Handhabung der Projekt-Workspace-ID möglich. Die Schwachstelle ermöglichte es Angreifern, durch manipulierte Pfadangaben beliebigen Code auszuführen.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-59792
  • Für wen relevant: Unternehmen, die JetBrains IntelliJ IDEA einsetzen. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Kompromittierung der Entwicklungsumgebung und des Systems führen.
  • Quelle: NVD

Authentifizierungsbypass im miniOrange Social Login Plugin für WordPress

Das miniOrange Social Login and Register Plugin für WordPress war bis Version 7.7.0 anfällig für einen Authentifizierungsbypass, der zu einer Übernahme von Konten führte. Durch die unzureichende Überprüfung der E-Mail-Adresse im OAuth-Flow und eine schwache OTP-Implementierung konnten Angreifer Administratorrechte erlangen.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-12761
  • Für wen relevant: Betreiber von WordPress-Websites mit dem miniOrange Social Login Plugin. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte die vollständige Kontrolle über die WordPress-Instanz erlangen, einschließlich aller Benutzerkonten und Daten.
  • Quelle: NVD

Arbitrary File Upload im Super Forms WordPress-Plugin

Das Super Forms – Drag & Drop Form Builder Plugin für WordPress bis Version 6.3.313 war anfällig für das Hochladen beliebiger Dateien. Durch fehlende Dateitypvalidierung und eine umgehbare Nonce-Prüfung konnten Angreifer ausführbare Dateien hochladen und Remote Code Execution erreichen.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-14894
  • Für wen relevant: Betreiber von WordPress-Websites mit dem Super Forms Plugin. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Übernahme des Servers führen.
  • Quelle: NVD

Arbitrary File Upload im Instant Appointment WordPress-Plugin

Das Instant Appointment Plugin für WordPress bis Version 1.2 erlaubte das Hochladen beliebiger Dateien aufgrund fehlender Dateitypvalidierung. Dies ermöglichte Angreifern das Hochladen ausführbarer Dateien und damit Remote Code Execution.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-15282
  • Für wen relevant: Betreiber von WordPress-Websites mit dem Instant Appointment Plugin. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte die vollständige Kontrolle über die WordPress-Instanz und den Server erlangen.
  • Quelle: NVD

Unrestricted File Upload in Balbooa Forms für Joomla

Die Joomla-Erweiterung Balbooa Forms war in den Versionen 1.0 bis 2.4.0 für nicht authentifizierte Angreifer anfällig für das Hochladen beliebiger, auch ausführbarer Dateien. Dadurch war eine vollständige Remote Code Execution möglich.

  • Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
  • Datum: 10.07.2026
  • CVE: CVE-2026-56291
  • Für wen relevant: Betreiber von Joomla-Websites mit der Balbooa-Forms-Erweiterung. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Kompromittierung der Joomla-Instanz und des Servers führen.
  • Quelle: CISA KEV

SQL-Injection im GEO my WP WordPress-Plugin

Das GEO my WP Plugin für WordPress bis Version 4.5.4 war anfällig für SQL-Injection über die Parameter ‚distance‘, ‚lat‘ und ‚lng‘. Durch fehlende Validierung konnten Angreifer Datenbankabfragen manipulieren sowie Daten verändern oder die Verfügbarkeit des Dienstes beeinträchtigen.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-15300
  • Für wen relevant: Betreiber von WordPress-Websites mit dem GEO my WP Plugin. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zur Manipulation von Datenbankinhalten oder zu Verfügbarkeitsproblemen führen.
  • Quelle: NVD

LoginPress Pro – mehrere OAuth-Login-Flows betroffen

Bei WordPress LoginPress Pro sind mehrere sicherheitsrelevante Schwachstellen gemeldet:

1. Authentifizierungsbypass im LoginPress Pro Plugin für WordPress

Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über unverifizierte OAuth-E-Mails. Die Funktion loginpress_on_discord_login() akzeptierte E-Mail-Adressen ohne Überprüfung des verifizierten Flags und ermöglichte so die Übernahme beliebiger Konten.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-12595
  • Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
  • Quelle: NVD

2. Authentifizierungsbypass im LoginPress Pro Plugin über GitHub OAuth

Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über den GitHub OAuth Callback. Die Funktion loginpress_on_github_login() vertraute auf unverifizierte E-Mail-Adressen und ermöglichte so die Übernahme beliebiger Konten.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-12597
  • Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
  • Quelle: NVD

3. Authentifizierungsbypass im LoginPress Pro Plugin über Spotify Social Login

Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über das Spotify-Social-Login-Add-on. Die Funktion loginpress_on_spotify_login() vertraute auf unverifizierte E-Mail-Adressen und ermöglichte so die Übernahme beliebiger Konten.

  • Priorität: Hoch (kritisch)
  • Datum: 10.07.2026
  • CVE: CVE-2026-12598
  • Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
  • Quelle: NVD

Kritische XSS-Lücke im Zimbra Classic Web Client

Zimbra warnte vor einer kritischen gespeicherten Cross-Site-Scripting-Schwachstelle im Classic Web Client, der Ajax-basierten Webmail-Oberfläche. Die Lücke konnte durch speziell präparierte E-Mails ausgenutzt werden, die beim Öffnen schädliche Skripte im Browser eines angemeldeten Nutzers ausführen konnten.

  • Priorität: Sofort handeln (kritisch – sofort patchen)
  • Datum: 10.07.2026
  • Für wen relevant: Betreiber von Zimbra Collaboration Suite mit Classic Web Client. (für KMU: kritisch – nur für Betroffene)
  • Warum wichtig: Ein Angreifer könnte Session-Daten, Kontoeinstellungen oder Mailbox-Inhalte stehlen.
  • Quelle: Zimbra

Mehrere Schwachstellen in Red Hat Ansible Automation Platform

In Red Hat Ansible Automation Platform wurden mehrere Schwachstellen identifiziert, die von entfernten, anonymen Angreifern ausgenutzt werden konnten. Betroffen waren Denial-of-Service-Angriffe, Code-Ausführung, Sicherheitsumgehungen, Datenmanipulation, Offenlegung vertraulicher Informationen und Cross-Site-Scripting.

  • Priorität: Erhöht (hoch)
  • Datum: 10.07.2026
  • Für wen relevant: Betreiber von Red Hat Ansible Automation Platform. (für KMU: hoch – nur für Betroffene)
  • Warum wichtig: Ein erfolgreicher Angriff könnte zu Systemausfällen, Datenverlust, Kompromittierung oder weiterer Ausbreitung im Netzwerk führen.
  • Quelle: BSI CERT-Bund

Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert