Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheits-Bulletin vom 24. Juni 2026: zwei Schwachstellen in WP Activity Log sowie eine SQL-Injection in The Events Calendar

24. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die neu veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 24. Juni 2026 stehen drei Schwachstellen im Vordergrund, die sich auf zwei Plugins verteilen und allesamt bereits korrigiert sind: Zwei davon betreffen das Audit-Plugin WP Activity Log, eine weitere den Veranstaltungskalender The Events Calendar.

CVE-2026-54806 — Unauthentifizierte PHP-Objekt-Injection im Plugin WP Activity Log (kritisch)

Im Aktivitäts- und Audit-Log-Plugin WP Activity Log des Herstellers Melapress, das auf rund 300.000 WordPress-Seiten installiert ist und dort sämtliche Benutzeraktionen protokolliert, wurde in allen Versionen bis einschließlich 5.6.3.1 eine PHP-Objekt-Injection entdeckt, die dadurch entsteht, dass übergebene Daten deserialisiert werden, bevor sie ausreichend validiert wurden. Weil sich die Schwachstelle ohne jede Anmeldung ausnutzen lässt, genügt einem Angreifer bereits eine einzige präparierte Anfrage, um beliebige PHP-Objekte in die Anwendung einzuschleusen. Das Plugin selbst enthält zwar keine unmittelbar ausnutzbare Aufrufkette (POP-Chain), doch sobald ein anderes installiertes Plugin oder Theme eine solche Kette bereitstellt, lässt sich die Lücke bis zum Löschen von Dateien, zum Auslesen vertraulicher Daten oder sogar zur vollständigen Codeausführung auf dem Server eskalieren. Die als CVE-Vergabestelle zuständige Bewertung von Patchstack, die auch die National Vulnerability Database übernimmt, stuft die Schwachstelle mit einem CVSS-Wert von 9.8 als kritisch ein, während der WordPress-Schwachstellendienst WPScan mit 8.1 einen etwas niedrigeren, aber weiterhin hohen Wert vergibt. Eine Korrektur steht mit Version 5.6.4 bereit, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-54806 · WPScan-Advisory

CVE-2026-56005 — Gespeichertes Cross-Site-Scripting in WP Activity Log (mittel)

Dasselbe Plugin weist in allen Versionen bis einschließlich 5.6.3.1 eine zweite, weniger schwere Schwachstelle auf: Weil Benutzereingaben weder beim Speichern ausreichend bereinigt noch bei der späteren Ausgabe maskiert werden, kann ein bereits angemeldeter Benutzer mit der niedrigen Rolle „Abonnent” (Subscriber) Schadcode hinterlegen, der anschließend im Browser anderer Nutzer ausgeführt wird, sobald diese die betroffene Ansicht öffnen. Da viele Seiten die Selbstregistrierung von Abonnenten erlauben, ist diese Hürde in der Praxis oft niedrig. Die Schwachstelle wird mit einem CVSS-Wert von 6.4 als mittel eingestuft und ist gemeinsam mit der zuvor beschriebenen Objekt-Injection in derselben Version 5.6.4 behoben, sodass ein einziges Update beide Lücken schließt.

Quellen: National Vulnerability Database — CVE-2026-56005 · WPScan-Advisory

CVE-2026-49772 — Unauthentifizierte SQL-Injection im Plugin The Events Calendar (kritisch)

Im weit verbreiteten Veranstaltungskalender The Events Calendar von StellarWP, der auf rund 700.000 Seiten im Einsatz ist, besteht in den Versionen 6.15.12 bis einschließlich 6.16.2 eine SQL-Injection-Schwachstelle, die darauf zurückgeht, dass ein vom Benutzer übergebener Parameter nicht ausreichend maskiert und die zugrunde liegende Datenbankabfrage nicht hinreichend vorbereitet wird. Weil sich die Lücke ohne jede Anmeldung ausnutzen lässt, können unauthentifizierte Angreifer manipulierte Datenbankabfragen — in diesem Fall in Form einer sogenannten blinden SQL-Injection — einschleusen und auf diesem Weg vertrauliche Inhalte der Datenbank auslesen oder verändern. Die National Vulnerability Database führt die von Patchstack vergebene Bewertung von 9.3 und stuft die Schwachstelle damit als kritisch ein, während WPScan sie mit einem CVSS-Wert von 8.6 als hoch einordnet. Betreiber sollten das Plugin unverzüglich auf Version 6.16.3 oder neuer aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-49772 · WPScan-Advisory

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieses Bulletin dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise der jeweiligen Hersteller sowie die oben verlinkten Quellen.