Zum Inhalt springen
jproxx

Blog

Aktuelle Hinweise, Sicherheits-Updates und Neuigkeiten rund um WordPress, E-Commerce und Hosting.

RSS-Feed abonnieren
Sicherheit

Sicherheits-Bulletin vom 18. Juli 2026: Notfall-Update für den WordPress-Kern — vorauthentifizierte SQL-Injection-Kette „wp2shell" (CVE-2026-60137 & CVE-2026-63030)

WordPress veröffentlicht die Notfall-Versionen 7.0.2, 6.9.5 und 6.8.6 gegen eine SQL-Injection im Kern, die verkettet mit einer REST-Batch-Route-Verwechslung ohne Anmeldung zur Remote-Code-Ausführung führt. Auto-Updates wurden erzwungen — jetzt prüfen.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 17. Juli 2026: Zwei kritische Übernahme-Lücken ohne Anmeldung in Bricksforge und AI Copilot — plus Rechteausweitung und Zahlungsbetrug im Shop

Unauthentifizierte Admin-Übernahme in Bricksforge (CVSS 9,8) und im AI-Copilot-Plugin (CVSS 9,8), Privilegien-Eskalation in User Registration & Membership und ein gefälschter Zahlungs-Callback im PhonePe-Gateway.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 16. Juli 2026: Kritische Signature-Algorithmus-Verwechslung im SAML-SSO-Plugin und drei weitere WordPress-Schwachstellen

Kritische Lücke im SAML Single Sign On WordPress-Plugin (CVSS 9,8) — plus Privilegien-Eskalation in WPFunnels, CSRF in Loco Translate und Privilegien-Eskalation im Digits-Plugin.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 14. Juli 2026: Kritischer RCE in Newsletters, Stored XSS in News Kit Addons und WP Customer Area

Kritischer RCE über Deserialisierung in Tribulant Newsletters — plus zwei Stored-XSS-Schwachstellen in Elementor-Addons und WP Customer Area.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 13. Juli 2026: Unauthentifizierte SQL-Injection im WordPress-Plugin Booking Package

Ruhiger Wochenbeginn: eine unauthentifizierte SQL-Injection im Buchungs-Plugin Booking Package — über einen offenen REST-Endpunkt, in der Ausnutzbarkeit durch eine E-Mail-Prüfung eingeschränkt und bislang ohne Korrektur.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 12. Juli 2026: Codeausführung in WP Ultimate CSV Importer, Datei-Einbindung in LA-Studio Element Kit, Cross-Site-Scripting in Motors und E-Mail-Manipulation in NEX-Forms

Sicherheits-Überblick zum Wochenende: eine Codeausführung in WP Ultimate CSV Importer, eine lokale Datei-Einbindung in LA-Studio Element Kit, ein Cross-Site-Scripting in Motors und eine E-Mail-Manipulation in NEX-Forms.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 11. Juli 2026: Datei-Lesen in W3 Total Cache, Konto-Übernahme in Essential Addons for Elementor, Zahlungsschlüssel-Leck in Cost Calculator Builder und Datei-Upload in RSFiles!

Täglicher Sicherheits-Überblick: ein unauthentifiziertes Datei-Lesen in W3 Total Cache, eine Konto-Übernahme in Essential Addons for Elementor, ein Leck von Zahlungsschlüsseln in Cost Calculator Builder und ein Datei-Upload mit Codeausführung in der Joomla-Erweiterung RSFiles!.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 10. Juli 2026: Datei-Upload in Super Forms, Authentifizierungs-Umgehung in miniOrange Social Login, SQL-Injection in Ultimate Member und Zahlungs-Manipulation in SureForms

Täglicher Sicherheits-Überblick: ein Datei-Upload mit Codeausführung in Super Forms, eine Authentifizierungs-Umgehung in miniOrange Social Login, eine SQL-Injection in Ultimate Member und eine Zahlungs-Manipulation in SureForms.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 9. Juli 2026: Authentifizierungs-Umgehung in miniOrange OTP, Datei-Upload in Blocksy Companion Pro, Plugin-Installation per CSRF in Divi Torque und Konto-Übernahme in Divi Form Builder

Täglicher Sicherheits-Überblick: eine Authentifizierungs-Umgehung in miniOrange OTP, ein Datei-Upload mit Codeausführung in Blocksy Companion Pro, eine Plugin-Installation per CSRF in Divi Torque und eine Konto-Übernahme in Divi Form Builder.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 8. Juli 2026: Plugin-Installation ohne Anmeldung in WP Learn Manager, Zahlungs-Bypass in LatePoint, Konto-Übernahme in Eventer und SQL-Injection in My Calendar

Täglicher Sicherheits-Überblick: eine unauthentifizierte Plugin-Installation in WP Learn Manager, ein Zahlungs-Bypass in LatePoint, eine Konto-Übernahme in Eventer und eine unauthentifizierte SQL-Injection in My Calendar.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 7. Juli 2026: Lieferketten-Backdoor in Uncanny Automator Pro, Codeausführung in WPFunnels, Datei-Löschung im Frontend File Manager und Datei-Schreiben in AMP for WP

Täglicher Sicherheits-Überblick: ein Lieferketten-Angriff mit Backdoor in Uncanny Automator Pro, eine unauthentifizierte Codeausführung in WPFunnels, eine Datei-Löschung im Frontend File Manager und ein Datei-Schreiben in AMP for WP.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 6. Juli 2026: Befehls-Injektion in File-Manager-Plugins, Datei-Upload in FileOrganizer, Rechteausweitung in Admin and Site Enhancements und Cross-Site-Scripting in Simple Membership

Täglicher Sicherheits-Überblick: eine kritische Befehls-Injektion in verbreiteten File-Manager-Plugins, ein Datei-Upload in FileOrganizer, eine unauthentifizierte Rechteausweitung in Admin and Site Enhancements und Cross-Site-Scripting in Simple Membership.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 5. Juli 2026: kritische NoSQL-Injection in cve-search, OIDC-Account-Übernahme in Keycloak und eine Welle von SQL-Injection in PHP-Demo-Anwendungen

Sicherheits-Überblick: eine kritische NoSQL-Injection im Werkzeug cve-search, eine OIDC-Account-Übernahme in Keycloak und eine Häufung von SQL-Injection in kleinen PHP-Demo-Anwendungen.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 4. Juli 2026: Rechteausweitung in HestiaCP, Speicher-Überlauf im PHP-Kern, gespeichertes Cross-Site-Scripting in Ultimate Member und PII-Manipulation in LatePoint

Täglicher Sicherheits-Überblick: eine Rechteausweitung bis zur Server-Übernahme im Control-Panel HestiaCP, ein Speicher-Überlauf im PHP-Kern, gespeichertes Cross-Site-Scripting in Ultimate Member und unauthentifizierte Manipulation von Kundendaten in LatePoint.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 3. Juli 2026: unauthentifiziertes gespeichertes Cross-Site-Scripting in wpDiscuz, Datei-Lesen in AR for WooCommerce und Cross-Site-Scripting in NEX-Forms

Täglicher Sicherheits-Überblick: ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting im Kommentar-Plugin wpDiscuz, ein unauthentifiziertes Datei-Lesen in AR for WooCommerce und ein gespeichertes Cross-Site-Scripting im Formular-Plugin NEX-Forms.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 2. Juli 2026: kritische unauthentifizierte Remote-Code-Execution in Divi Form Builder, Datei-Löschung in Printcart, Datei-Lesen in Ninja Forms File Uploads und Datei-Löschung im Elementor-Plugin Image Optimizer

Täglicher Sicherheits-Überblick: eine kritische, ohne Anmeldung ausnutzbare Codeausführung in Divi Form Builder, eine unauthentifizierte Datei-Löschung im WooCommerce-Plugin Printcart, ein unauthentifiziertes Datei-Lesen in der Ninja-Forms-Erweiterung File Uploads und eine Datei-Löschung im Image-Optimizer-Plugin von Elementor.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 1. Juli 2026: kritische unauthentifizierte Rechteausweitung in PrivateContent, Datei-Löschung in Business Directory, eine SQL-Injection in BookingPress und Cross-Site-Scripting in Enable Media Replace

Täglicher Sicherheits-Überblick: eine kritische, ohne Anmeldung ausnutzbare Rechteausweitung im Plugin PrivateContent, eine unauthentifizierte Datei-Löschung im Business Directory Plugin, eine SQL-Injection im Terminbuchungs-Plugin BookingPress und ein Cross-Site-Scripting im weit verbreiteten Enable Media Replace.

Weiterlesen →
Engineering

Webserver-Caching verstehen: HTTP-Caching von Cache-Control bis Revalidierung

Wie HTTP-Caching wirklich funktioniert — wo Caches sitzen, das Freshness-Modell, Cache-Control richtig gesetzt, Revalidierung mit ETag, der Vary-Header und eine praxistaugliche Strategie für statische Dateien, HTML und geschützte Inhalte.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 30. Juni 2026: kritische unauthentifizierte SQL-Injection in EventON, Konto-Übernahme in ProfileGrid und eine Deserialisierungs-Lücke in Export User Data

Täglicher Sicherheits-Überblick: eine kritische, ohne Anmeldung ausnutzbare SQL-Injection im Event-Kalender EventON, eine unauthentifizierte Konto-Übernahme in ProfileGrid und eine Deserialisierungs-Lücke mit Datei-Löschung in Export User Data.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 29. Juni 2026: kritische unauthentifizierte Konto-Übernahme im Plugin Invoice Generator, eine Berechtigungslücke in ProfilePress und gespeichertes Cross-Site-Scripting im SiteOrigin Page Builder

Täglicher Sicherheits-Überblick: eine kritische, ohne Anmeldung ausnutzbare Konto-Übernahme im Plugin Invoice Generator, eine IDOR-Schwachstelle im Mitglieder-Plugin ProfilePress und gespeichertes Cross-Site-Scripting im weit verbreiteten SiteOrigin Page Builder.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 28. Juni 2026: aktiv ausgenutzte Remote-Code-Execution im Cache-Plugin Breeze, Authentifizierungs-Umgehung in Burst Statistics und eine unauthentifizierte Lücke in WP Travel Engine

Täglicher Sicherheits-Überblick: aktiv ausgenutzte RCE im WordPress-Cache-Plugin Breeze, eine Authentifizierungs-Umgehung in Burst Statistics und eine unauthentifizierte Lücke in WP Travel Engine.

Weiterlesen →
Sicherheit

Sicherheitshinweis: Aktiv ausgenutzte Schwachstelle im WordPress-Plugin Gravity SMTP (CVE-2026-4020) — API-Schlüssel und Tokens öffentlich abgreifbar

Ein ungeschützter REST-Endpoint im WordPress-Plugin Gravity SMTP legt API-Schlüssel und Tokens offen (CVE-2026-4020). Seit März in 2.1.5 behoben, im Juni massiv ausgenutzt.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 26. Juni 2026: kritische Datei-Löschung in Avada Builder und Code-Injection in RD Station sowie ein Statusnachtrag zu zwei offenen Lücken

Täglicher Sicherheits-Überblick: kritische Lücken in Avada Builder und RD Station sowie ein Statusnachtrag zu zwei weiterhin ungepatchten WordPress-Plugins.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 25. Juni 2026: CRLF-Injection im Laravel-Framework sowie kritische Konto-Übernahme im WordPress-Plugin Kirki

Täglicher Sicherheits-Überblick: eine CRLF-Injection im PHP-Framework Laravel und eine kritische, unauthentifizierte Konto-Übernahme im WordPress-Plugin Kirki.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 24. Juni 2026: zwei Schwachstellen in WP Activity Log sowie eine SQL-Injection in The Events Calendar

Täglicher Sicherheits-Überblick: zwei Lücken im Audit-Plugin WP Activity Log und eine unauthentifizierte SQL-Injection in The Events Calendar.

Weiterlesen →
Sicherheit

Sicherheitshinweis: Zwei Schwachstellen im PHP-HTTP-Client Guzzle (CVE-2026-55568 und CVE-2026-55767) — relevant durch seine Verbreitung in PHP-Bibliotheken

Zwei Schwachstellen im weit verbreiteten PHP-HTTP-Client Guzzle: unverschlüsselter Proxy-Verkehr und ein CookieJar-Fehler. Beide sind in Version 7.12.1 behoben.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 23. Juni 2026: SQL-Injection in Infility Global sowie zwei noch ungepatchte WordPress-Plugin-Lücken

Täglicher Sicherheits-Überblick für WordPress und PHP: eine SQL-Injection in Infility Global sowie zwei noch ungepatchte WordPress-Plugin-Lücken.

Weiterlesen →
Sicherheit

Sicherheits-Bulletin vom 22. Juni 2026: Rechteausweitung in Vitepos, kritische Lücke in PhpSpreadsheet und Cross-Site-Scripting in WooCommerce Auction Pro

Täglicher Sicherheits-Überblick für WordPress, E-Commerce und PHP: Rechteausweitung in Vitepos, Lücke in PhpSpreadsheet, XSS in WooCommerce Auction Pro.

Weiterlesen →
Sicherheit

Sicherheitswarnung: Kritische UpdraftPlus-Lücke (CVE-2026-10795) — WordPress jetzt prüfen und aktualisieren

Kritische, aktiv ausgenutzte Lücke im WordPress-Plugin UpdraftPlus (CVE-2026-10795): Versionen bis 1.26.4 betroffen — bitte sofort auf 1.26.5 aktualisieren.

Weiterlesen →
Engineering

Unser lokaler KI-Coding-Stack: Qwen3.6-35B auf vLLM — die echten Zahlen

Wie wir Qwen3.6-35B als Coding-Assistenten auf eigener Hardware betreiben — vLLM, FP8, 256K Kontext, Speculative Decoding. Mit echten Betriebs-Messwerten.

Weiterlesen →