Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheits-Bulletin vom 26. Juni 2026: kritische Datei-Löschung in Avada Builder und Code-Injection in RD Station sowie ein Statusnachtrag zu zwei offenen Lücken

26. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die neu veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 26. Juni 2026 greifen wir zwei kritische WordPress-Plugin-Schwachstellen heraus und liefern anschließend einen Statusnachtrag zu den beiden Lücken, die wir am 23. Juni als noch ungepatcht gemeldet hatten.

CVE-2026-8713 — Unauthentifizierte Datei-Löschung im Plugin Avada (Fusion) Builder (kritisch)

Im weit verbreiteten Seitenerstellungs-Plugin Avada (Fusion) Builder von ThemeFusion, das gemeinsam mit dem beliebten Avada-Theme ausgeliefert und auf über einer Million WordPress-Seiten eingesetzt wird, besteht in allen Versionen bis einschließlich 3.15.3 eine kritische Schwachstelle, die unauthentifizierten Angreifern das Löschen beliebiger Dateien auf dem Server erlaubt. Ursache ist eine unzureichende Prüfung des Dateipfads in der Aufräumroutine maybe_delete_files, durch die sich mittels Verzeichnis-Traversal (CWE-22) auch Dateien außerhalb des vorgesehenen Verzeichnisses ansprechen lassen. Die Ausnutzung setzt voraus, dass auf der Seite ein veröffentlichtes Avada-Formular existiert, das seine Einträge in der Datenbank speichert; über den dafür zuständigen AJAX-Handler kann ein Angreifer dann ohne Anmeldung eine manipulierte Pfadangabe wie /wp-content/uploads/fusion-forms/../../../wp-config.php übermitteln und das sofortige Löschen erzwingen. Besonders gefährlich ist genau dieser Fall, denn das Entfernen der zentralen Datei wp-config.php versetzt WordPress in den Einrichtungszustand zurück und kann einem Angreifer auf diesem Weg die vollständige Übernahme der Seite bis hin zur Ausführung eigenen Codes ermöglichen. Die National Vulnerability Database führt die von Wordfence vergebene Bewertung von 9.1 und stuft die Schwachstelle damit als kritisch ein. Eine Korrektur steht mit Version 3.15.4 bereit, auf die Betreiber unverzüglich aktualisieren sollten; wo das nicht sofort möglich ist, sollten betroffene Avada-Formulare mit Datenbank-Speicherung vorübergehend deaktiviert werden.

Quellen: National Vulnerability Database — CVE-2026-8713 · Wordfence-Advisory

CVE-2026-49774 — Code-Injection im Plugin RD Station (kritisch)

Im WordPress-Plugin RD Station, das WordPress-Seiten an die gleichnamige Marketing-Plattform anbindet, wurde in allen Versionen bis einschließlich 5.6.0 eine Schwachstelle zur Code-Injection entdeckt, die einem Angreifer das Einschleusen und Ausführen eigenen Programmcodes ermöglicht. Anders als bei der zuvor beschriebenen Lücke ist hier kein vollständig anonymer Zugriff erforderlich, sondern ein bereits angemeldetes Benutzerkonto mit niedrigen Rechten — etwa die Rolle „Mitarbeiter” (Contributor) —, wie sie auf vielen redaktionell betriebenen Seiten vergeben wird. Weil sich die Auswirkungen über die Grenzen der eigentlich zugewiesenen Rechte hinaus entfalten, fällt die Bewertung entsprechend hoch aus: Die National Vulnerability Database führt die von Patchstack vergebene Einstufung von 9.9 und ordnet die Schwachstelle als kritisch sowie der Schwachstellenklasse CWE-94 (unzureichende Kontrolle der Code-Erzeugung) zu. Betreiber sollten das Plugin unverzüglich auf Version 5.7.0 oder neuer aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-49774 · Patchstack — RD Station RCE

Nachtrag: Status der am 23. Juni gemeldeten, noch ungepatchten Lücken

In unserem Bulletin vom 23. Juni hatten wir zwei Schwachstellen aufgeführt, für die zum damaligen Zeitpunkt noch keine Korrektur verfügbar war. Nach erneuter Prüfung der Primärquellen sind beide weiterhin ohne Fix: Für die unauthentifizierte Datei-Download-Lücke im Plugin Frontend File Manager (CVE-2026-8379, alle Versionen bis einschließlich 23.6) sowie für das reflektierte Cross-Site-Scripting im Plugin Simple Basic Contact Form (CVE-2026-8172, alle Versionen bis einschließlich der Ausgabe 20250114) weist die National Vulnerability Database mit Stand vom 23. Juni 2026 unverändert keine korrigierte Version aus. Solange das so bleibt, gelten die bereits genannten Übergangsmaßnahmen fort: das Deaktivieren des jeweiligen Plugins, sofern es nicht zwingend benötigt wird, das Einschränken des Zugriffs auf die betroffenen Endpunkte sowie das Abfangen verdächtiger Anfragen über eine Web Application Firewall.

Quellen: National Vulnerability Database — CVE-2026-8379 · National Vulnerability Database — CVE-2026-8172

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieses Bulletin dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise der jeweiligen Hersteller sowie die oben verlinkten Quellen.