Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheits-Bulletin vom 22. Juni 2026: Rechteausweitung in Vitepos, kritische Lücke in PhpSpreadsheet und Cross-Site-Scripting in WooCommerce Auction Pro

22. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick. Wir sichten die neu veröffentlichten Schwachstellen und greifen jene heraus, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende jedes Abschnitts verlinkt. Für den 22. Juni 2026 sind drei Meldungen relevant.

CVE-2026-8157 — Rechteausweitung im WordPress-Plugin Vitepos (hoch)

Das WordPress-Plugin Vitepos, ein Kassensystem für WooCommerce-Shops, enthält in allen Versionen vor 3.4.2 eine Schwachstelle zur Rechteausweitung. Ein Aufruf zum Anlegen neuer Benutzer über eine REST-Programmierschnittstelle schränkt die dabei zuweisbaren Rollen nicht korrekt ein. Dadurch kann ein bereits angemeldeter Benutzer mit einer eigens vergebenen Vitepos-Rolle sich selbst zur Rolle des Administrators hochstufen und anschließend die vollständige Kontrolle über die Website übernehmen. Die National Vulnerability Database bewertet die Lücke mit einem CVSS-Wert von 8.8 und damit als hoch. Betroffene Websites sollten das Plugin umgehend auf Version 3.4.2 oder neuer aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-8157 · WPScan-Advisory

CVE-2026-45034 — Kritische Schwachstelle in der PHP-Bibliothek PhpSpreadsheet (kritisch)

PhpSpreadsheet ist eine weit verbreitete PHP-Bibliothek zum Lesen und Schreiben von Tabellendokumenten und steckt in zahlreichen Shop- und Verwaltungssystemen, etwa für den Import oder Export von Excel-Dateien. Ein früherer Schutz gegen gefährliche Datei-Wrapper, der mit CVE-2026-34084 eingeführt wurde, lässt sich umgehen: Die Prüffunktion erkennt einen Pfad der Form phar:///… mit drei oder mehr Schrägstrichen nicht als Wrapper, weil die zugrunde liegende PHP-Funktion in diesem Fall keinen gültigen Schema-Namen zurückgibt und die Prüfung dadurch übersprungen wird. Unter PHP 7.x genügt bereits das Berühren dieses Wrappers, damit die im Archiv hinterlegten Daten automatisch entpackt werden und darüber Schadcode aus der Ferne ausgeführt werden kann. Unter PHP 8.x reduziert sich die unmittelbare Auswirkung auf das Lesen von Dateien; eine Codeausführung ist dann nur in bestimmten Folgekonstellationen möglich. Die National Vulnerability Database stuft die Schwachstelle mit einem CVSS-Wert von 9.2 als kritisch ein. Betreiber sollten auf Version 1.30.5 aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-45034 · GitHub Security Advisory GHSA-87m4-826x-3crx

CVE-2026-4259 — Cross-Site-Scripting in Ultimate WooCommerce Auction Pro (hoch, noch ohne Korrektur)

Das Plugin Ultimate WooCommerce Auction Pro, das Auktionsfunktionen für WooCommerce-Shops bereitstellt, gibt in allen Versionen bis einschließlich 2.4.5 einen Parameter ungefiltert wieder aus. Daraus ergibt sich eine reflektierte Cross-Site-Scripting-Schwachstelle, über die sich Schadcode im Browser eines Opfers ausführen lässt, sobald dieses einem präparierten Link folgt. Besonders heikel ist, dass sich der Angriff gezielt gegen hoch privilegierte Benutzer wie Administratoren richten lässt. Zum Zeitpunkt dieser Veröffentlichung ist laut WPScan keine korrigierte Version verfügbar. Solange kein Update bereitsteht, sollten Betreiber das Plugin bei Nichtgebrauch deaktivieren, den Zugriff einschränken und verdächtige Aufrufe über eine Web Application Firewall abfangen. Die National Vulnerability Database bewertet die Schwachstelle mit einem CVSS-Wert von 7.1 und damit als hoch.

Quellen: National Vulnerability Database — CVE-2026-4259 · WPScan-Advisory

Sie sind jproxx-Managed-Kunde?

Wir verfolgen diese Meldungen täglich und spielen Sicherheitsaktualisierungen für die von uns betreuten WordPress- und E-Commerce-Installationen ein. Unsere Server laufen bereits auf einer aktuellen PHP-Version, was die Auswirkung der oben beschriebenen PhpSpreadsheet-Lücke deutlich verringert. Wenn Sie unsicher sind, ob eine Ihrer Websites betroffen ist, oder Unterstützung bei der Prüfung benötigen, melden Sie sich bei uns — wir sehen es uns gemeinsam an.

Dieses Bulletin dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise der jeweiligen Hersteller sowie die oben verlinkten Quellen.