Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 1. Juli 2026: kritische unauthentifizierte Rechteausweitung in PrivateContent, Datei-Löschung in Business Directory, eine SQL-Injection in BookingPress und Cross-Site-Scripting in Enable Media Replace

1. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Für den 1. Juli 2026 greifen wir vier heute veröffentlichte Schwachstellen heraus: zwei kritische, ohne Anmeldung ausnutzbare Lücken sowie zwei weitere Schwachstellen in weit verbreiteten Plugins, für die jeweils bereits eine korrigierte Version bereitsteht.

CVE-2026-57692 — Unauthentifizierte Rechteausweitung in PrivateContent (kritisch)

Im Plugin PrivateContent, das Inhalte hinter einem geschützten Mitglieder- bzw. Zugangsbereich verbirgt, besteht in allen Versionen bis einschließlich 9.9.2 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle zur Rechteausweitung. Weil Berechtigungen fehlerhaft zugewiesen werden, kann sich ein Angreifer ohne gültiges Konto höhere Rechte innerhalb der Installation verschaffen, als ihm zustehen. Die von Patchstack als ausstellende Stelle vergebene und von der National Vulnerability Database übernommene Bewertung liegt bei 9.8, womit die Lücke als kritisch eingestuft ist; zugeordnet ist sie der Schwachstellenklasse CWE-266 (fehlerhafte Rechtezuweisung). Zum Zeitpunkt dieser Veröffentlichung ist keine offizielle Korrektur verfügbar; Betreiber, die das Plugin einsetzen, sollten es daher bis zum Erscheinen einer korrigierten Version umgehend deaktivieren und entfernen.

Quellen: Patchstack — PrivateContent CVE-2026-57692 · National Vulnerability Database — CVE-2026-57692

CVE-2026-6070 — Unauthentifizierte Datei-Löschung im Business Directory Plugin (kritisch)

Im Business Directory Plugin, das Branchen- und Verzeichniseinträge in WordPress verwaltet, besteht in allen Versionen bis einschließlich 4.0.1 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle, die das Löschen beliebiger Dateien erlaubt. Ursache ist eine unzureichende Prüfung des Dateipfads in der für das Entfernen hochgeladener Dateien zuständigen Routine: Über eine Pfad-Manipulation (Path Traversal) kann ein Angreifer den Löschvorgang aus dem vorgesehenen Verzeichnis herausführen und Dateien außerhalb löschen — etwa die zentrale Konfigurationsdatei wp-config.php, deren Entfernung den Weg zu einer vollständigen Übernahme der Seite ebnen kann. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.1, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-73 (externe Kontrolle von Dateiname oder Pfad) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin umgehend deaktivieren, bis eine Korrektur vorliegt.

Quellen: National Vulnerability Database — CVE-2026-6070 · CVE-Record — CVE-2026-6070

CVE-2026-11823 — Unauthentifizierte SQL-Injection in BookingPress (hoch)

Im Terminbuchungs-Plugin BookingPress Appointment Booking Pro des Herstellers Repute Infosystems besteht in allen Versionen bis einschließlich 5.7.1 eine ohne Anmeldung ausnutzbare SQL-Injection. Der über den Parameter store_service_date übergebene Wert wird nicht ausreichend abgesichert in eine Datenbankabfrage übernommen, sodass ein Angreifer eigene SQL-Anweisungen einschleusen und im schlimmsten Fall den Datenbankinhalt — einschließlich der Benutzerkonten und Passwort-Hashes — auslesen kann. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-89 (SQL-Injection) zu. Behoben ist die Schwachstelle mit Version 5.7.2, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-11823 · Wordfence — BookingPress CVE-2026-11823

CVE-2026-57722 — Cross-Site-Scripting in Enable Media Replace (mittel)

Im weit verbreiteten Plugin Enable Media Replace, das den Austausch bereits hochgeladener Mediendateien unter Beibehaltung der bestehenden Datei-Adresse ermöglicht, besteht in allen Versionen bis einschließlich 4.2.1 ein Cross-Site-Scripting. Die Ausnutzung setzt ein angemeldetes Konto mindestens mit der Rolle Redakteur (Editor) sowie eine Nutzerinteraktion voraus; ein solcher Benutzer kann Schadcode hinterlegen, der anschließend im Browser anderer Nutzer ausgeführt wird. Da die Rolle Redakteur bereits weitreichende Rechte besitzt, wiegt die Lücke vor allem auf Seiten mit mehreren Autoren schwer, auf denen nicht jedem Redakteur uneingeschränkt vertraut werden kann. Die von Patchstack als ausstellende Stelle vergebene Bewertung liegt bei 5.9 und stuft die Lücke als mittel ein; zugeordnet ist sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting). Behoben ist die Schwachstelle mit Version 4.2.2, auf die Betreiber aktualisieren sollten.

Quellen: Patchstack — Enable Media Replace CVE-2026-57722 · National Vulnerability Database — CVE-2026-57722

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.