Aktuelle Sicherheitslücken für KMU im Überblick: Dieses Briefing fasst die wichtigsten Sicherheitslücken und Sicherheitsupdates des Tages aus offiziellen Quellen zusammen – eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.
Code-Ausführung in JetBrains IntelliJ IDEA durch Path-Traversal
In JetBrains IntelliJ IDEA vor Version 2026.1.4 und 2026.2 war die Ausführung von Code über einen Pfad-Traversal-Angriff bei der Handhabung der Projekt-Workspace-ID möglich. Die Schwachstelle ermöglichte es Angreifern, durch manipulierte Pfadangaben beliebigen Code auszuführen.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-59792
- Für wen relevant: Unternehmen, die JetBrains IntelliJ IDEA einsetzen. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Kompromittierung der Entwicklungsumgebung und des Systems führen.
- Quelle: NVD
Authentifizierungsbypass im miniOrange Social Login Plugin für WordPress
Das miniOrange Social Login and Register Plugin für WordPress war bis Version 7.7.0 anfällig für einen Authentifizierungsbypass, der zu einer Übernahme von Konten führte. Durch die unzureichende Überprüfung der E-Mail-Adresse im OAuth-Flow und eine schwache OTP-Implementierung konnten Angreifer Administratorrechte erlangen.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-12761
- Für wen relevant: Betreiber von WordPress-Websites mit dem miniOrange Social Login Plugin. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte die vollständige Kontrolle über die WordPress-Instanz erlangen, einschließlich aller Benutzerkonten und Daten.
- Quelle: NVD
Arbitrary File Upload im Super Forms WordPress-Plugin
Das Super Forms – Drag & Drop Form Builder Plugin für WordPress bis Version 6.3.313 war anfällig für das Hochladen beliebiger Dateien. Durch fehlende Dateitypvalidierung und eine umgehbare Nonce-Prüfung konnten Angreifer ausführbare Dateien hochladen und Remote Code Execution erreichen.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-14894
- Für wen relevant: Betreiber von WordPress-Websites mit dem Super Forms Plugin. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Übernahme des Servers führen.
- Quelle: NVD
Arbitrary File Upload im Instant Appointment WordPress-Plugin
Das Instant Appointment Plugin für WordPress bis Version 1.2 erlaubte das Hochladen beliebiger Dateien aufgrund fehlender Dateitypvalidierung. Dies ermöglichte Angreifern das Hochladen ausführbarer Dateien und damit Remote Code Execution.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-15282
- Für wen relevant: Betreiber von WordPress-Websites mit dem Instant Appointment Plugin. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte die vollständige Kontrolle über die WordPress-Instanz und den Server erlangen.
- Quelle: NVD
Unrestricted File Upload in Balbooa Forms für Joomla
Die Joomla-Erweiterung Balbooa Forms war in den Versionen 1.0 bis 2.4.0 für nicht authentifizierte Angreifer anfällig für das Hochladen beliebiger, auch ausführbarer Dateien. Dadurch war eine vollständige Remote Code Execution möglich.
- Priorität: Sofort handeln (aktiv ausgenutzt / KEV)
- Datum: 10.07.2026
- CVE: CVE-2026-56291
- Für wen relevant: Betreiber von Joomla-Websites mit der Balbooa-Forms-Erweiterung. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte zur vollständigen Kompromittierung der Joomla-Instanz und des Servers führen.
- Quelle: CISA KEV
SQL-Injection im GEO my WP WordPress-Plugin
Das GEO my WP Plugin für WordPress bis Version 4.5.4 war anfällig für SQL-Injection über die Parameter ‚distance‘, ‚lat‘ und ‚lng‘. Durch fehlende Validierung konnten Angreifer Datenbankabfragen manipulieren sowie Daten verändern oder die Verfügbarkeit des Dienstes beeinträchtigen.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-15300
- Für wen relevant: Betreiber von WordPress-Websites mit dem GEO my WP Plugin. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte zur Manipulation von Datenbankinhalten oder zu Verfügbarkeitsproblemen führen.
- Quelle: NVD
LoginPress Pro – mehrere OAuth-Login-Flows betroffen
Bei WordPress LoginPress Pro sind mehrere sicherheitsrelevante Schwachstellen gemeldet:
1. Authentifizierungsbypass im LoginPress Pro Plugin für WordPress
Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über unverifizierte OAuth-E-Mails. Die Funktion loginpress_on_discord_login() akzeptierte E-Mail-Adressen ohne Überprüfung des verifizierten Flags und ermöglichte so die Übernahme beliebiger Konten.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-12595
- Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
- Quelle: NVD
2. Authentifizierungsbypass im LoginPress Pro Plugin über GitHub OAuth
Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über den GitHub OAuth Callback. Die Funktion loginpress_on_github_login() vertraute auf unverifizierte E-Mail-Adressen und ermöglichte so die Übernahme beliebiger Konten.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-12597
- Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
- Quelle: NVD
3. Authentifizierungsbypass im LoginPress Pro Plugin über Spotify Social Login
Das LoginPress Pro Plugin für WordPress bis Version 6.2.3 war anfällig für einen Authentifizierungsbypass über das Spotify-Social-Login-Add-on. Die Funktion loginpress_on_spotify_login() vertraute auf unverifizierte E-Mail-Adressen und ermöglichte so die Übernahme beliebiger Konten.
- Priorität: Hoch (kritisch)
- Datum: 10.07.2026
- CVE: CVE-2026-12598
- Für wen relevant: Betreiber von WordPress-Websites mit dem LoginPress Pro Plugin. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte beliebige Benutzerkonten, einschließlich Administratoren, übernehmen.
- Quelle: NVD
Kritische XSS-Lücke im Zimbra Classic Web Client
Zimbra warnte vor einer kritischen gespeicherten Cross-Site-Scripting-Schwachstelle im Classic Web Client, der Ajax-basierten Webmail-Oberfläche. Die Lücke konnte durch speziell präparierte E-Mails ausgenutzt werden, die beim Öffnen schädliche Skripte im Browser eines angemeldeten Nutzers ausführen konnten.
- Priorität: Sofort handeln (kritisch – sofort patchen)
- Datum: 10.07.2026
- Für wen relevant: Betreiber von Zimbra Collaboration Suite mit Classic Web Client. (für KMU: kritisch – nur für Betroffene)
- Warum wichtig: Ein Angreifer könnte Session-Daten, Kontoeinstellungen oder Mailbox-Inhalte stehlen.
- Quelle: Zimbra
Mehrere Schwachstellen in Red Hat Ansible Automation Platform
In Red Hat Ansible Automation Platform wurden mehrere Schwachstellen identifiziert, die von entfernten, anonymen Angreifern ausgenutzt werden konnten. Betroffen waren Denial-of-Service-Angriffe, Code-Ausführung, Sicherheitsumgehungen, Datenmanipulation, Offenlegung vertraulicher Informationen und Cross-Site-Scripting.
- Priorität: Erhöht (hoch)
- Datum: 10.07.2026
- Für wen relevant: Betreiber von Red Hat Ansible Automation Platform. (für KMU: hoch – nur für Betroffene)
- Warum wichtig: Ein erfolgreicher Angriff könnte zu Systemausfällen, Datenverlust, Kompromittierung oder weiterer Ausbreitung im Netzwerk führen.
- Quelle: BSI CERT-Bund
Weitere aktuelle Sicherheitslücken und alle bisherigen Briefings finden Sie in der Kategorie Tägliches Cyber- & KI-Sicherheitsupdate.

