Sicherheits-Bulletin vom 25. Juni 2026: CRLF-Injection im Laravel-Framework sowie kritische Konto-Übernahme im WordPress-Plugin Kirki

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die neu veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 25. Juni 2026 greifen wir zwei Schwachstellen heraus, die unterschiedliche Schichten des typischen Hosting-Stacks betreffen: eine im PHP-Framework Laravel und eine im WordPress-Plugin Kirki.

CVE-2026-48019 — CRLF-Injection in der E-Mail-Validierung des Laravel-Frameworks (hoch)

Im weit verbreiteten PHP-Framework Laravel, das die Grundlage zahlloser Web-Anwendungen bildet, wurde in allen Versionen bis einschließlich 13.9.0 sowie in allen Versionen vor 12.60.0 eine CRLF-Injection entdeckt, die in der standardmäßigen Validierungsregel für E-Mail-Adressen ihren Ursprung hat. Die Schwachstelle entsteht, weil die in einer vom Benutzer übergebenen E-Mail-Adresse enthaltenen Steuerzeichen für Wagenrücklauf und Zeilenvorschub (CR und LF) nicht ausreichend neutralisiert werden, bevor die Adresse an die darunterliegenden Komponenten Symfony Mailer und Symfony Mime weitergereicht wird. Da diese Zeichen in E-Mail-Kopfzeilen als strukturelle Trenner wirken, kann ein Angreifer, der eine Adresse wie [email protected] gefolgt von einem eingeschleusten \r\nBcc:-Eintrag übermittelt, zusätzliche Empfänger einschmuggeln, Kopfzeilen verändern oder Nachrichteninhalte manipulieren — und das ohne Anmeldung und ohne Zutun des Opfers. Besonders betroffen sind Anwendungen, die vom Benutzer angegebene Adressen aus Registrierungen, Passwort-Zurücksetzungen oder Kontaktformularen verarbeiten und anschließend versenden. Das GitHub-Security-Advisory bewertet die Lücke mit einem CVSS-Wert von 8.9 und damit als hoch und ordnet sie der Schwachstellenklasse CWE-93 zu. Eine Korrektur steht mit den Versionen 12.60.0 und 13.10.0 bereit, auf die Betreiber zeitnah aktualisieren sollten.

Quellen: GitHub Security Advisory GHSA-5vg9-5847-vvmq · Debian Security Tracker — CVE-2026-48019

CVE-2026-8206 — Unauthentifizierte Konto-Übernahme im WordPress-Plugin Kirki (kritisch)

Im WordPress-Plugin Kirki – Freeform Page Builder, Website Builder & Customizer besteht in den Versionen 6.0.0 bis einschließlich 6.0.6 eine kritische Schwachstelle zur Rechteausweitung, die es unauthentifizierten Angreifern erlaubt, fremde Konten — bis hin zum Administrator — vollständig zu übernehmen. Ursache ist eine fehlerhafte Prüfung beim Zurücksetzen des Passworts: Der zuständige Endpunkt akzeptiert eine vom Angreifer frei wählbare E-Mail-Adresse, anstatt die im Konto hinterlegte Adresse zu verwenden, sodass sich der für ein beliebiges Benutzerkonto erzeugte Zurücksetzungs-Link an die Adresse des Angreifers senden lässt. Wer diesen Link erhält, kann das Passwort des Zielkontos neu setzen und sich anschließend mit dessen Rechten anmelden. Die National Vulnerability Database bewertet die Schwachstelle mit einem CVSS-Wert von 9.8, stuft sie damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-269 zu. Orca Security berichtet darüber hinaus unter Berufung auf Wordfence von ersten blockierten Angriffsversuchen — rund 59 innerhalb von 24 Stunden —, was die Dringlichkeit zusätzlich unterstreicht; die automatisierte Einstufung der National Vulnerability Database führt eine aktive Ausnutzung zum Zeitpunkt dieser Veröffentlichung hingegen noch nicht. Betreiber sollten das Plugin unverzüglich auf Version 6.0.7 oder neuer aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-8206 · Orca Security — Kirki CVE-2026-8206

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

---

Dieses Bulletin dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise der jeweiligen Hersteller sowie die oben verlinkten Quellen.