Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheits-Bulletin vom 29. Juni 2026: kritische unauthentifizierte Konto-Übernahme im Plugin Invoice Generator, eine Berechtigungslücke in ProfilePress und gespeichertes Cross-Site-Scripting im SiteOrigin Page Builder

29. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Aus den in den vergangenen Tagen veröffentlichten Schwachstellen greifen wir für den 29. Juni 2026 drei heraus: eine kritische, vollständig ohne Anmeldung ausnutzbare Konto-Übernahme sowie zwei Lücken in weit verbreiteten Plugins, für die jeweils bereits eine korrigierte Version bereitsteht.

CVE-2026-12415 — Unauthentifizierte Konto-Übernahme im Plugin Invoice Generator (kritisch)

Im WordPress-Plugin Invoice Generator, das Rechnungen innerhalb von WordPress erzeugt, besteht in allen Versionen bis einschließlich 1.0.0 eine kritische Schwachstelle, die sich vollständig ohne Anmeldung ausnutzen lässt. Ursache ist, dass der für die Bearbeitung von Konto-Daten zuständige AJAX-Endpunkt (pravel_invoice_edit_account) zusätzlich über die unauthentifizierte nopriv-Variante erreichbar ist und dabei keinerlei Berechtigung prüft. Dadurch kann ein Angreifer ohne gültiges Benutzerkonto die hinterlegte E-Mail-Adresse eines beliebigen Nutzers — auch die eines Administrators — auf eine von ihm kontrollierte Adresse ändern und anschließend über die reguläre Funktion zum Zurücksetzen des Passworts einen Anmeldelink anfordern. Auf diesem Weg übernimmt er die vollständige Kontrolle über das Konto und damit über die Website. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-269 (fehlerhafte Rechteverwaltung) zu. Zum Zeitpunkt dieser Veröffentlichung weist die Datenbank keine korrigierte Version aus; Betreiber, die das Plugin einsetzen, sollten es daher bis zum Erscheinen eines Updates umgehend deaktivieren und entfernen.

Quellen: National Vulnerability Database — CVE-2026-12415

CVE-2026-10820 — Berechtigungslücke (IDOR) im Mitglieder-Plugin ProfilePress (hoch)

Im Plugin ProfilePress — vollständig „Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content” —, das Registrierung, Anmeldung, Profile und kostenpflichtige Mitgliedschaften auf WordPress-Seiten bereitstellt, besteht in allen Versionen vor 4.16.17 eine Schwachstelle vom Typ Insecure Direct Object Reference (IDOR). Weil das Plugin einen vom Benutzer kontrollierten Schlüssel verarbeitet, ohne ausreichend zu prüfen, ob der Aufrufende für das angesprochene Objekt überhaupt berechtigt ist, kann ein bereits angemeldeter Benutzer mit der niedrigen Rolle „Abonnent” (Subscriber) die Mitgliedschaften und Abonnements anderer Nutzer kündigen. Da zahlreiche Seiten die Selbstregistrierung von Abonnenten erlauben, ist die dafür nötige Hürde in der Praxis oft niedrig. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-639 (Autorisierungs-Umgehung über einen benutzerkontrollierten Schlüssel) zu. Behoben ist die Schwachstelle mit Version 4.16.17, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-10820 · WPScan-Advisory

CVE-2026-13295 — Gespeichertes Cross-Site-Scripting im SiteOrigin Page Builder (mittel)

Der Page Builder von SiteOrigin, einer der seit Jahren am weitesten verbreiteten Baukästen zum Erstellen von WordPress-Layouts, weist in allen Versionen bis einschließlich 2.34.3 ein gespeichertes Cross-Site-Scripting auf. Weil der über den Parameter panels_data übergebene Seiteninhalt beim Speichern nicht ausreichend bereinigt und bei der späteren Ausgabe nicht maskiert wird, kann ein bereits angemeldeter Benutzer mit der Rolle „Mitarbeiter” (Contributor) Schadcode hinterlegen, der anschließend im Browser anderer Nutzer ausgeführt wird, sobald diese die betroffene Seite öffnen. Die National Vulnerability Database vergibt einen CVSS-Wert von 6.4, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 2.34.4; Betreiber sollten zeitnah aktualisieren.

Quellen: National Vulnerability Database — CVE-2026-13295 · Wordfence — SiteOrigin Page Builder

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.