Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 30. Juni 2026: kritische unauthentifizierte SQL-Injection in EventON, Konto-Übernahme in ProfileGrid und eine Deserialisierungs-Lücke in Export User Data

30. Juni 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 30. Juni 2026 greifen wir drei heute veröffentlichte Schwachstellen heraus: zwei kritische, ohne Anmeldung ausnutzbare Lücken sowie eine schwerwiegende Deserialisierungs-Lücke, die bis zur Codeausführung führen kann.

CVE-2026-9711 — Unauthentifizierte SQL-Injection im Event-Kalender EventON (kritisch)

Im Plugin EventON, einem auf vielen Seiten eingesetzten Kalender für (virtuelle) Veranstaltungen, besteht in allen Versionen bis einschließlich 5.0.11 eine ohne Anmeldung ausnutzbare SQL-Injection. Der über den Such-Parameter (search) übergebene Wert wird nicht ausreichend abgesichert in eine Datenbankabfrage übernommen, sodass ein Angreifer eigene SQL-Anweisungen einschleusen kann. Da sich über eine SQL-Injection im schlimmsten Fall der gesamte Datenbankinhalt — einschließlich der Benutzerkonten und der gespeicherten Passwort-Hashes — auslesen lässt, ist die Auswirkung gravierend. Voraussetzung für die Ausnutzung ist, dass die Plugin-Einstellung für zusätzliche Suchanfragen aktiviert ist und mindestens ein Event veröffentlicht wurde. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-89 (SQL-Injection) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten EventON umgehend auf die neueste verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, als Sofortmaßnahme die genannte zusätzliche Suchfunktion abschalten oder das Plugin deaktivieren.

Quellen: National Vulnerability Database — CVE-2026-9711 · CVE-Record — CVE-2026-9711

CVE-2026-12073 — Unauthentifizierte Konto-Übernahme in ProfileGrid (kritisch)

Im Plugin ProfileGrid, das Benutzerprofile, Gruppen und Communities in WordPress bereitstellt, besteht in allen Versionen bis einschließlich 5.9.9.5 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle. Weil eine Funktion einen vom Benutzer kontrollierten Schlüssel verarbeitet, ohne zu prüfen, ob der Aufrufende dafür berechtigt ist, kann ein Angreifer ohne gültiges Konto die hinterlegte E-Mail-Adresse des Administrator-Kontos auf eine von ihm kontrollierte Adresse ändern und anschließend über die Funktion zum Zurücksetzen des Passworts einen Anmeldelink anfordern — und damit die vollständige Kontrolle über die Website übernehmen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-639 (Autorisierungs-Umgehung über einen benutzerkontrollierten Schlüssel) zu. Es ist bereits das zweite Mal in dieser Woche, dass wir genau dieses Muster sehen — ein ohne Anmeldung erreichbarer Endpunkt ohne Berechtigungsprüfung, der eine Konto-Übernahme erlaubt. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten ProfileGrid umgehend auf die neueste verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, das Plugin deaktivieren.

Quellen: National Vulnerability Database — CVE-2026-12073 · Wordfence — ProfileGrid CVE-2026-12073

CVE-2026-12240 — Deserialisierungs-Lücke mit Datei-Löschung in Export User Data (hoch)

Im Plugin Export User Data besteht in allen Versionen bis einschließlich 2.2.6 eine Schwachstelle bei der Verarbeitung serialisierter Daten. Weil ein über die unserialize-Verarbeitung eingelesener Pfad nicht ausreichend geprüft wird, lässt sich eine beliebige Datei auf dem Server löschen — etwa die zentrale Konfigurationsdatei wp-config.php, deren Entfernung wiederum den Weg zu einer vollständigen Übernahme bis hin zur Codeausführung ebnen kann. Zur Ausnutzung präpariert ein bereits angemeldeter Benutzer mit niedriger Rolle (ab Abonnent) die entsprechenden Daten; wirksam wird die Manipulation, sobald ein Administrator den Export der Benutzerdaten anstößt. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.0, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-502 (Deserialisierung nicht vertrauenswürdiger Daten) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin umgehend auf die neueste verfügbare Version aktualisieren oder bis zum Erscheinen einer Korrektur deaktivieren.

Quellen: National Vulnerability Database — CVE-2026-12240 · Wordfence — Export User Data CVE-2026-12240

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.