Security-Briefing 21.06.2026: Kritische Schwachstellen

Aktuelle sicherheitsrelevante Meldungen aus offiziellen Quellen, eingeordnet nach Priorität, betroffenen Systemen und Relevanz für kleine und mittlere Unternehmen. Technische Details stehen jeweils in der verlinkten Quelle.

Privilege Escalation in WordPress-Plugin Branda

Das WordPress-Plugin Branda ist in allen Versionen bis einschließlich 3.4.29 anfällig für eine Rechteausweitung durch Account-Übernahme. Die Schwachstelle entsteht, weil das Plugin die Identität eines Benutzers vor einer Passwortänderung nicht ordnungsgemäß validiert. Dadurch können nicht authentifizierte Angreifer beliebige Passwörter ändern, einschließlich derer von Administratoren. Dies ermöglicht den vollständigen Zugriff auf betroffene Benutzerkonten.

  • Priorität: Hoch (kritisch)
  • Datum: 20.06.2026
  • CVE: CVE-2026-11551
  • Für wen relevant: Unternehmen, die das WordPress-Plugin Branda in ihrer Web-Infrastruktur einsetzen.
  • Warum wichtig: Angreifer können Administratorenrechte erlangen und die vollständige Kontrolle über die WordPress-Instanz übernehmen.
  • Quelle: NVD

Authentifizierungsumgehung in AVideo Meet-Plugin

Das AVideo-System ist in Versionen bis 29.0 durch eine Schwachstelle im Meet-Plugin anfällig für eine Umgehung der Autorisierung. Ein Angreifer kann durch Kenntnis eines geteilten Geheimnisses (Shared Secret) eine manipulierte Datei hochladen, die eine Benutzer-ID enthält. Dies erlaubt es, ohne Passwort eine authentifizierte Sitzung als beliebiger Benutzer, inklusive Administratoren, zu starten. Das Geheimnis kann durch Pfad-Traversal oder Timing-Angriffe auf andere Endpunkte erlangt werden.

  • Priorität: Hoch (kritisch)
  • Datum: 20.06.2026
  • CVE: CVE-2026-56345
  • Für wen relevant: Betreiber von AVideo-Plattformen, die das Meet-Plugin verwenden.
  • Warum wichtig: Es droht die vollständige Übernahme von Administratorenkonten und der Zugriff auf geschützte Systemfunktionen.
  • Quelle: NVD

Willkürliches Löschen von Dateien in WordPress-Formular-Plugins

Das Plugin ‚Database for Contact Form 7, WPforms, Elementor forms‘ ist in Versionen bis 1.5.1 anfällig für das willkürliche Löschen von Dateien. Grund ist eine unzureichende Validierung von Dateipfaden in der Funktion view_page. Nicht authentifizierte Angreifer können so Dateien auf dem Server löschen, was bei kritischen Dateien wie der wp-config.php zur Remote Code Execution führen kann. Die Ausnutzung erfordert, dass ein Administrator einen manipulierten Formulareintrag aufruft.

  • Priorität: Hoch
  • Datum: 20.06.2026
  • CVE: CVE-2026-9843
  • Für wen relevant: Unternehmen, die das genannte WordPress-Formular-Plugin nutzen.
  • Warum wichtig: Durch das Löschen kritischer Systemdateien kann die Webseite kompromittiert oder zur Ausführung von Schadcode missbraucht werden.
  • Quelle: NVD

Willkürliches Löschen von Dateien in WordPress-Plugin Simple File List

Das WordPress-Plugin Simple File List ist in Versionen bis 6.3.7 anfällig für das willkürliche Löschen von Dateien aufgrund unzureichender Pfadvalidierung in der Funktion eeSFL_DeleteFile. Die AJAX-Aktion ist ohne Authentifizierung zugänglich, da eine Sicherheitsprüfung fehlerhaft umgangen wird. Angreifer können so gezielt Dateien auf dem Server löschen. Dies kann bei kritischen Konfigurationsdateien wie der wp-config.php zur Remote Code Execution führen.

  • Priorität: Hoch
  • Datum: 20.06.2026
  • CVE: CVE-2026-11911
  • Für wen relevant: Unternehmen, die das WordPress-Plugin Simple File List einsetzen.
  • Warum wichtig: Die Schwachstelle ermöglicht Angreifern die Zerstörung von Systemdateien und die potenzielle Übernahme des Webservers.
  • Quelle: NVD

Fehlende Authentifizierung in WordPress-Plugin STRABL

Das WordPress-Plugin STRABL ist in allen Versionen bis einschließlich 4.5 anfällig für fehlende Authentifizierung. Ein REST-API-Endpunkt akzeptiert Anfragen ohne jegliche Sicherheitsprüfung oder Token-Validierung. Angreifer können dadurch betrügerische Bestellungen erstellen, Zahlungsstatus manipulieren, Benutzerkonten anlegen oder Rückerstattungen auslösen. Dies geschieht ohne gültige Zahlungen oder Zugangsdaten.

  • Priorität: Mittel bis hoch
  • Datum: 19.06.2026
  • CVE: CVE-2026-3640
  • Für wen relevant: E-Commerce-Betreiber, die das STRABL-Plugin für WooCommerce nutzen.
  • Warum wichtig: Es besteht das Risiko massiver finanzieller Schäden durch manipulierte Bestellungen und unbefugte administrative Aktionen.
  • Quelle: NVD

Command Injection in Microsoft Copilot

Microsoft Copilot weist eine Schwachstelle durch unzureichende Neutralisierung von Spezialelementen in Befehlen auf, was als Command Injection bezeichnet wird. Dies ermöglicht es einem nicht autorisierten Angreifer, Manipulationen über ein Netzwerk durchzuführen. Die Schwachstelle betrifft die Verarbeitung von Befehlseingaben innerhalb der Anwendung.

  • Priorität: Mittel bis hoch
  • Datum: 19.06.2026
  • CVE: CVE-2026-42895
  • Für wen relevant: Unternehmen, die Microsoft Copilot in ihrer IT-Umgebung einsetzen.
  • Warum wichtig: Angreifer könnten das System manipulieren oder unbefugte Befehle ausführen.
  • Quelle: NVD

Unsichere Deserialisierung in picklescan

Die Bibliothek picklescan ist in Versionen vor 1.0.1 anfällig für eine unsichere Pickle-Deserialisierung. Nicht authentifizierte Angreifer können durch die Instanziierung der Klasse logging.FileHandler beliebige Null-Byte-Dateien erstellen. Dies kann genutzt werden, um Sicherheitsblocklisten zu umgehen und Dateisystem-Artefakte wie Sperrdateien zu erzeugen. Dies kann zu einer Dienstunterbrechung oder Anwendungsstörungen führen.

  • Priorität: Mittel bis hoch
  • Datum: 20.06.2026
  • CVE: CVE-2026-56304
  • Für wen relevant: Entwickler und Unternehmen, die picklescan in ihren Python-Anwendungen verwenden.
  • Warum wichtig: Die Schwachstelle kann für Denial-of-Service-Angriffe oder zur Manipulation des Dateisystems genutzt werden.
  • Quelle: NVD

Authentifizierungsumgehung in AVideo

AVideo ist in Versionen bis 25.0 anfällig für eine Authentifizierungsumgehung im Endpunkt decryptMessage.json.php. Nicht authentifizierte Benutzer können PGP-Nachrichten serverseitig entschlüsseln lassen. Angreifer können dazu eigene private Schlüssel und Chiffretexte übermitteln, was zur Offenlegung von Schlüsselmaterial in Protokolldateien führen kann. Zudem ermöglicht dies Angriffe zur Ressourcenerschöpfung.

  • Priorität: Mittel bis hoch
  • Datum: 20.06.2026
  • CVE: CVE-2026-56346
  • Für wen relevant: Betreiber von AVideo-Instanzen.
  • Warum wichtig: Vertrauliche Daten können entschlüsselt werden und die Systemstabilität ist gefährdet.
  • Quelle: NVD

Open Redirect in Microsoft 365 Copilot

Im Business Chat von Microsoft 365 Copilot existiert eine Schwachstelle durch eine URL-Weiterleitung auf eine nicht vertrauenswürdige Seite (Open Redirect). Ein nicht autorisierter Angreifer kann diese Schwachstelle nutzen, um Privilegien über ein Netzwerk zu eskalieren. Die Schwachstelle betrifft die Art und Weise, wie Weiterleitungs-URLs innerhalb des Dienstes verarbeitet werden.

  • Priorität: Erhöht (hoch)
  • Datum: 19.06.2026
  • CVE: CVE-2026-47645
  • Für wen relevant: Unternehmen, die Microsoft 365 Copilot nutzen.
  • Warum wichtig: Die Schwachstelle kann zur Privilegieneskalation und für Phishing-Angriffe missbraucht werden.
  • Quelle: NVD

Unsichere Ressourceninitialisierung in GitHub Copilot und VS Code

GitHub Copilot und Visual Studio Code weisen eine Schwachstelle bei der Initialisierung einer Ressource mit unsicheren Standardwerten auf. Dies ermöglicht es einem nicht autorisierten Angreifer, Informationen über ein Netzwerk offenzulegen. Die Schwachstelle resultiert aus einer fehlerhaften Konfiguration bei der Bereitstellung von Ressourcen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 19.06.2026
  • CVE: CVE-2026-50519
  • Für wen relevant: Unternehmen, die GitHub Copilot und Visual Studio Code in ihrer Entwicklungsumgebung einsetzen.
  • Warum wichtig: Es besteht das Risiko der unbefugten Offenlegung sensibler Informationen.
  • Quelle: NVD

Server-Side Request Forgery in AVideo

AVideo ist in Versionen bis 27.0 anfällig für eine Server-Side Request Forgery (SSRF) im Plugin-Endpunkt plugin/Live/test.php. Authentifizierte Administratoren können beliebige URLs über den Parameter statsURL abrufen, da eine Sicherheitsvalidierung fehlt. Dies erlaubt Anfragen an interne Dienste, lokale IP-Adressen und Cloud-Metadaten-Endpunkte. Angreifer können so sensible Informationen wie IAM-Zugangsdaten oder Netzwerkkonfigurationen abgreifen.

  • Priorität: Beobachten (mittel / informativ)
  • Datum: 20.06.2026
  • CVE: CVE-2026-56342
  • Für wen relevant: Betreiber von AVideo-Instanzen.
  • Warum wichtig: Angreifer können interne Netzwerkinformationen ausspähen und auf Cloud-Metadaten zugreifen.
  • Quelle: NVD