Sicherheits-Bulletin vom 30. Juni 2026: kritische unauthentifizierte SQL-Injection in EventON, Konto-Übernahme in ProfileGrid und eine Deserialisierungs-Lücke in Export User Data
30. Juni 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 30. Juni 2026 greifen wir drei heute veröffentlichte Schwachstellen heraus: zwei kritische, ohne Anmeldung ausnutzbare Lücken sowie eine schwerwiegende Deserialisierungs-Lücke, die bis zur Codeausführung führen kann.
CVE-2026-9711 — Unauthentifizierte SQL-Injection im Event-Kalender EventON (kritisch)
Im Plugin EventON, einem auf vielen Seiten eingesetzten Kalender für (virtuelle)
Veranstaltungen, besteht in allen Versionen bis einschließlich 5.0.11 eine ohne Anmeldung
ausnutzbare SQL-Injection. Der über den Such-Parameter (search) übergebene Wert wird nicht
ausreichend abgesichert in eine Datenbankabfrage übernommen, sodass ein Angreifer eigene
SQL-Anweisungen einschleusen kann. Da sich über eine SQL-Injection im schlimmsten Fall der
gesamte Datenbankinhalt — einschließlich der Benutzerkonten und der gespeicherten
Passwort-Hashes — auslesen lässt, ist die Auswirkung gravierend. Voraussetzung für die
Ausnutzung ist, dass die Plugin-Einstellung für zusätzliche Suchanfragen aktiviert ist und
mindestens ein Event veröffentlicht wurde. Die National Vulnerability Database vergibt einen
CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der
Schwachstellenklasse CWE-89 (SQL-Injection) zu. Zum Zeitpunkt dieser Veröffentlichung ist
keine korrigierte Version ausgewiesen; Betreiber sollten EventON umgehend auf die neueste
verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, als Sofortmaßnahme
die genannte zusätzliche Suchfunktion abschalten oder das Plugin deaktivieren.
Quellen: National Vulnerability Database — CVE-2026-9711 · CVE-Record — CVE-2026-9711
CVE-2026-12073 — Unauthentifizierte Konto-Übernahme in ProfileGrid (kritisch)
Im Plugin ProfileGrid, das Benutzerprofile, Gruppen und Communities in WordPress bereitstellt, besteht in allen Versionen bis einschließlich 5.9.9.5 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle. Weil eine Funktion einen vom Benutzer kontrollierten Schlüssel verarbeitet, ohne zu prüfen, ob der Aufrufende dafür berechtigt ist, kann ein Angreifer ohne gültiges Konto die hinterlegte E-Mail-Adresse des Administrator-Kontos auf eine von ihm kontrollierte Adresse ändern und anschließend über die Funktion zum Zurücksetzen des Passworts einen Anmeldelink anfordern — und damit die vollständige Kontrolle über die Website übernehmen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-639 (Autorisierungs-Umgehung über einen benutzerkontrollierten Schlüssel) zu. Es ist bereits das zweite Mal in dieser Woche, dass wir genau dieses Muster sehen — ein ohne Anmeldung erreichbarer Endpunkt ohne Berechtigungsprüfung, der eine Konto-Übernahme erlaubt. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten ProfileGrid umgehend auf die neueste verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, das Plugin deaktivieren.
Quellen: National Vulnerability Database — CVE-2026-12073 · Wordfence — ProfileGrid CVE-2026-12073
CVE-2026-12240 — Deserialisierungs-Lücke mit Datei-Löschung in Export User Data (hoch)
Im Plugin Export User Data besteht in allen Versionen bis einschließlich 2.2.6 eine
Schwachstelle bei der Verarbeitung serialisierter Daten. Weil ein über die
unserialize-Verarbeitung eingelesener Pfad nicht ausreichend geprüft wird, lässt sich eine
beliebige Datei auf dem Server löschen — etwa die zentrale Konfigurationsdatei wp-config.php,
deren Entfernung wiederum den Weg zu einer vollständigen Übernahme bis hin zur Codeausführung
ebnen kann. Zur Ausnutzung präpariert ein bereits angemeldeter Benutzer mit niedriger Rolle
(ab Abonnent) die entsprechenden Daten; wirksam wird die Manipulation, sobald ein
Administrator den Export der Benutzerdaten anstößt. Die National Vulnerability Database
vergibt einen CVSS-Wert von 8.0, stuft die Lücke damit als hoch ein und ordnet sie der
Schwachstellenklasse CWE-502 (Deserialisierung nicht vertrauenswürdiger Daten) zu. Zum
Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber
sollten das Plugin umgehend auf die neueste verfügbare Version aktualisieren oder bis zum
Erscheinen einer Korrektur deaktivieren.
Quellen: National Vulnerability Database — CVE-2026-12240 · Wordfence — Export User Data CVE-2026-12240
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.