Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheits-Bulletin vom 23. Juni 2026: SQL-Injection in Infility Global sowie zwei noch ungepatchte WordPress-Plugin-Lücken

23. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die neu veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 23. Juni 2026 sind drei WordPress-Plugin-Schwachstellen relevant, von denen bislang nur eine geschlossen wurde — die beiden anderen sind zum Zeitpunkt dieser Veröffentlichung noch nicht korrigiert, weshalb wir hier zusätzlich konkrete Übergangsmaßnahmen nennen.

CVE-2026-8163 — SQL-Injection im WordPress-Plugin Infility Global (hoch)

Im WordPress-Plugin Infility Global wurde in allen Versionen vor 2.15.19 eine SQL-Injection-Schwachstelle entdeckt, die dadurch entsteht, dass mehrere über die Anwendung übergebene Parameter — insbesondere der order-Parameter — nicht ausreichend bereinigt und maskiert werden, bevor sie in SQL-Abfragen einfließen. Weil sich die Lücke bereits von angemeldeten Benutzern mit der niedrigen Rolle „Abonnent” (Subscriber) ausnutzen lässt, genügt auf vielen Seiten schon ein gewöhnliches, häufig frei registrierbares Benutzerkonto, um manipulierte Datenbankabfragen einzuschleusen und auf diesem Weg vertrauliche Inhalte der Datenbank auszulesen oder zu verändern. Die National Vulnerability Database bewertet die Schwachstelle mit einem CVSS-Wert von 8.8 und stuft sie damit als hoch ein. Anders als bei den beiden folgenden Lücken steht hier bereits eine Korrektur bereit, sodass Betreiber das Plugin unverzüglich auf Version 2.15.19 oder neuer aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-8163 · WPScan-Advisory

CVE-2026-8379 — Unauthentifizierter Datei-Download im Plugin Frontend File Manager (hoch, noch ohne Korrektur)

Das weit verbreitete Plugin Frontend File Manager, mit dem Besucher Dateien über das Frontend einer WordPress-Seite hoch- und herunterladen können, prüft in allen Versionen bis einschließlich 23.6 den zur Absicherung vorgesehenen Nonce am Download-Handler nicht korrekt. In der Folge können unauthentifizierte Angreifer, also Personen ganz ohne Benutzerkonto, die internen Kennungen der hochgeladenen Dateien schlicht durchprobieren und auf diese Weise Dokumente herunterladen, die andere Nutzer hochgeladen haben und die eigentlich nicht öffentlich zugänglich sein sollten. Da solche Uploads je nach Einsatzzweck der Seite auch personenbezogene Daten, Verträge oder andere vertrauliche Unterlagen enthalten können, ist diese unkontrollierte Offenlegung besonders heikel und zudem datenschutzrechtlich relevant. Die National Vulnerability Database stuft die Lücke mit einem CVSS-Wert von 7.5 als hoch ein, doch zum Zeitpunkt dieser Veröffentlichung ist laut WPScan keine korrigierte Version verfügbar. Solange kein Update bereitsteht, sollten Betreiber das Plugin deaktivieren, wenn es nicht zwingend benötigt wird, den Zugriff auf die betroffenen Endpunkte einschränken und verdächtige Download-Anfragen über eine Web Application Firewall abfangen.

Quellen: National Vulnerability Database — CVE-2026-8379 · WPScan-Advisory

CVE-2026-8172 — Reflektiertes Cross-Site-Scripting im Plugin Simple Basic Contact Form (hoch, noch ohne Korrektur)

Das Plugin Simple Basic Contact Form gibt in allen Versionen bis einschließlich der Ausgabe 20250114 die vom Benutzer übermittelten Eingaben bei Validierungsfehlern ungefiltert wieder im Kontaktformular aus, ohne sie zuvor zu maskieren. Dadurch entsteht eine reflektierte Cross-Site-Scripting-Schwachstelle, über die ein unauthentifizierter Angreifer Schadcode im Browser eines Seitenbesuchers ausführen kann, sobald dieser einem präparierten Link folgt oder eine manipulierte Formularübermittlung auslöst. Angriffe dieser Art lassen sich unter anderem nutzen, um Sitzungen zu übernehmen, Eingaben mitzulesen oder Besucher unbemerkt auf betrügerische Seiten umzuleiten. Die National Vulnerability Database bewertet die Schwachstelle mit einem CVSS-Wert von 7.1 und damit als hoch, und auch in diesem Fall ist laut WPScan derzeit keine korrigierte Version verfügbar, sodass bis zu einem Update das Deaktivieren des Plugins, eine Einschränkung des Zugriffs und das Filtern verdächtiger Aufrufe über eine Web Application Firewall die wirksamsten Gegenmaßnahmen bleiben.

Quellen: National Vulnerability Database — CVE-2026-8172 · WPScan-Advisory

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieses Bulletin dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise der jeweiligen Hersteller sowie die oben verlinkten Quellen.