Sicherheits-Bulletin vom 28. Juni 2026: aktiv ausgenutzte Remote-Code-Execution im Cache-Plugin Breeze, Authentifizierungs-Umgehung in Burst Statistics und eine unauthentifizierte Lücke in WP Travel Engine

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 28. Juni 2026 greifen wir drei Plugin-Schwachstellen heraus, von denen die erste — eine kritische Lücke im Cache-Plugin Breeze — bereits aktiv für die vollständige Server-Übernahme ausgenutzt wird und deshalb unsere besondere Aufmerksamkeit verdient.

CVE-2026-3844 — Unauthentifizierter Datei-Upload mit Codeausführung im Cache-Plugin Breeze (kritisch)

Das von Cloudways entwickelte Caching-Plugin Breeze, das auf über 400.000 WordPress-Seiten die Ladezeiten verbessert, weist in allen Versionen bis einschließlich 2.4.4 eine kritische Schwachstelle auf, durch die unauthentifizierte Angreifer beliebige Dateien auf den Server hochladen können. Ursache ist die Routine fetch_gravatar_from_remote, die Gravatar-Bilder von einer externen Adresse herunterlädt und im Upload-Verzeichnis ablegt, dabei aber weder den Dateityp noch den Inhalt der heruntergeladenen Datei überprüft. Kontrolliert ein Angreifer die Quelladresse, lässt sich auf diesem Weg statt eines Bildes eine PHP-Datei in ein Verzeichnis schreiben, in dem die Ausführung von Skripten erlaubt ist — womit aus dem reinen Datei-Upload eine vollständige Codeausführung und damit die Übernahme der Seite wird. Die National Vulnerability Database führt die von Wordfence vergebene Bewertung von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload von Dateien gefährlichen Typs) zu. Voraussetzung für die Ausnutzung ist, dass die Zusatzfunktion zur lokalen Speicherung von Gravatar-Bildern aktiviert ist; diese ist zwar standardmäßig abgeschaltet, kann auf verwalteten Hosting-Tarifen jedoch vorab eingeschaltet sein, sodass Betreiber, die die Einstellungen des Plugins nie geöffnet haben, dennoch betroffen sein können. Behoben ist die Schwachstelle seit dem 22. April 2026 mit Version 2.4.5.

Der Grund, warum wir diese im Frühjahr geschlossene Lücke heute aufgreifen, ist ihre anhaltende aktive Ausnutzung: Wordfence verzeichnet eine große Zahl von Angriffsversuchen, die gezielt auf diese Schwachstelle abzielen. Betreiber sollten Breeze daher umgehend auf Version 2.4.5 oder neuer aktualisieren oder das Plugin vorübergehend deaktivieren. Wo das nicht sofort möglich ist, sollte zumindest die genannte Funktion zur lokalen Gravatar- Speicherung abgeschaltet werden. Zusätzlich empfiehlt sich eine Prüfung des Upload- Verzeichnisses (insbesondere /wp-content/uploads/breeze/) auf unerwartete Dateien mit Endungen wie .php, .phtml oder .phar, da ein erfolgreicher Angriff ein dauerhaftes Hintertürchen hinterlassen haben kann, das ein bloßes Update nicht entfernt.

Quellen: National Vulnerability Database — CVE-2026-3844 · Wordfence — Breeze CVE-2026-3844

CVE-2026-8181 — Authentifizierungs-Umgehung mit Administrator-Übernahme in Burst Statistics (kritisch)

Im Analyse-Plugin Burst Statistics, das als datenschutzfreundliche Alternative zu Google Analytics auf rund 200.000 Seiten im Einsatz ist, besteht in den Versionen 3.4.0 bis einschließlich 3.4.1.1 eine kritische Schwachstelle zur Umgehung der Authentifizierung. Ursache ist ein Fehler in der Funktion is_mainwp_authenticated, die im Rahmen der MainWP-Anbindung das aus dem Authorization-Header übermittelte Anwendungspasswort prüfen soll, deren Rückgabewert im Fehlerfall jedoch fälschlich als erfolgreiche Anmeldung gewertet wird. Dadurch genügt einem unauthentifizierten Angreifer die Kenntnis eines Administrator-Benutzernamens, um sich für die Dauer der Anfrage als dieser Administrator auszugeben — ein beliebiges, frei erfundenes Passwort wird akzeptiert. Die National Vulnerability Database führt die von Wordfence vergebene Bewertung von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-287 (fehlerhafte Authentifizierung) zu. Behoben ist die Schwachstelle seit dem 12. Mai 2026 mit Version 3.4.2; auch hier liegen Wordfence zufolge bereits Angriffe in erheblichem Umfang vor. Betreiber sollten Burst Statistics unverzüglich auf Version 3.4.2 oder neuer aktualisieren und bei dem Verdacht einer erfolgten Übernahme die Benutzerkonten und Sitzungen ihrer WordPress-Installation überprüfen.

Quellen: National Vulnerability Database — CVE-2026-8181 · Wordfence — Burst Statistics CVE-2026-8181

CVE-2026-49078 — Unauthentifizierte Schwachstelle in WP Travel Engine (hoch)

Im Buchungs-Plugin WP Travel Engine, das auf Reise- und Tour-Websites zum Einsatz kommt, besteht in allen Versionen bis einschließlich 6.7.10 eine ohne Anmeldung ausnutzbare Schwachstelle, die auf einer unzureichenden Prüfung übergebener Eingabewerte beruht. Ein Angreifer kann den verwundbaren Programmpfad über das Netzwerk und ohne jede Benutzerinteraktion erreichen; der Schwerpunkt der Auswirkung liegt auf der Integrität der vom Plugin verwalteten Daten. Die ausstellende Stelle Patchstack bewertet die Schwachstelle mit 7.5 und stuft sie damit als hoch ein; zugeordnet ist sie der Schwachstellenklasse CWE-1284 (fehlerhafte Prüfung einer angegebenen Mengenangabe in der Eingabe). Behoben ist die Lücke mit Version 6.7.11. Da Patchstack für die 6.7er-Reihe darüber hinaus weitere Korrekturen führt, sollten Betreiber nicht nur auf 6.7.11, sondern auf die jeweils aktuelle verfügbare Version aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-49078 · Patchstack — WP Travel Engine

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

---

Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.