Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 2. Juli 2026: kritische unauthentifizierte Remote-Code-Execution in Divi Form Builder, Datei-Löschung in Printcart, Datei-Lesen in Ninja Forms File Uploads und Datei-Löschung im Elementor-Plugin Image Optimizer

2. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 2. Juli 2026 ist ein ereignisreicher Tag — wir greifen vier Schwachstellen heraus, die sich alle um unsichere Dateiverarbeitung drehen. Die ersten drei sind ohne Anmeldung ausnutzbar und jeweils bereits behoben; die vierte betrifft ein im Elementor-Umfeld verbreitetes Plugin, setzt mindestens die Rolle Autor voraus und ist noch nicht korrigiert.

CVE-2026-5524 — Unauthentifizierte Codeausführung in Divi Form Builder (kritisch)

Im Plugin Divi Form Builder, einer Formular-Erweiterung für das weit verbreitete Divi-Theme, besteht in allen Versionen bis einschließlich 5.1.8 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle. Die Routine zum Hochladen von Bildern (do_image_upload) prüft die erlaubten Dateitypen nur unzureichend — die zugrunde liegende Filterung lässt sich umgehen, sodass ein Angreifer statt eines Bildes eine ausführbare PHP-Datei hochladen kann. Damit wird aus dem reinen Datei-Upload eine vollständige Codeausführung und in der Folge die Übernahme der Seite. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload von Dateien gefährlichen Typs) zu. Behoben ist die Schwachstelle mit Version 5.1.9, auf die Betreiber unverzüglich aktualisieren sollten; zusätzlich empfiehlt sich eine Prüfung des Upload-Verzeichnisses auf unerwartete Dateien mit Endungen wie .php, .phtml oder .phar.

Quellen: National Vulnerability Database — CVE-2026-5524 · Wordfence — Divi Form Builder CVE-2026-5524

CVE-2026-9725 — Unauthentifizierte Datei-Löschung in Printcart (WooCommerce) (kritisch)

Im WooCommerce-Plugin Printcart Web to Print Product Designer, das Produkt-Designer- Funktionen für Online-Shops bereitstellt, besteht in allen Versionen bis einschließlich 2.5.2 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle, die das Löschen beliebiger Dateien erlaubt. Aufgrund einer unzureichenden Prüfung des Dateipfads kann ein Angreifer den Löschvorgang aus dem vorgesehenen Verzeichnis herausführen und Dateien außerhalb entfernen — etwa die zentrale Konfigurationsdatei wp-config.php, deren Entfernung den Weg zu einer vollständigen Übernahme der Seite ebnen kann. Die Schwachstelle wird mit einem CVSS-Wert von 9.1 als kritisch eingestuft. Behoben ist sie mit Version 2.5.3, auf die Betreiber umgehend aktualisieren sollten. (Hinweis: Der zugehörige NVD-Eintrag war zum Redaktionszeitpunkt noch reserviert; die Angaben stützen sich auf die Advisories von Wordfence und WPScan.)

Quellen: Wordfence — Printcart CVE-2026-9725 · WPScan — Printcart

CVE-2026-13369 — Unauthentifiziertes Datei-Lesen in Ninja Forms File Uploads (hoch)

In der Erweiterung File Uploads für das Formular-Plugin Ninja Forms besteht in allen Versionen bis einschließlich 3.3.29 eine ohne Anmeldung ausnutzbare Schwachstelle vom Typ Pfad-Manipulation (Path Traversal). Bei der Verarbeitung von E-Mail-Anhängen (attach_files) wird ein Dateipfad nicht ausreichend eingegrenzt, sodass ein Angreifer über präparierte Pfadangaben beliebige Dateien vom Server auslesen kann — einschließlich sensibler Konfigurationsdateien. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende Begrenzung eines Pfadnamens auf ein eingeschränktes Verzeichnis) zu. Behoben ist die Schwachstelle mit der am selben Tag veröffentlichten Version 3.3.30, auf die Betreiber zeitnah aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-13369 · Ninja Forms — File Uploads Changelog

CVE-2026-5821 — Datei-Löschung im Elementor-Plugin Image Optimizer (hoch)

Im Plugin Image Optimizer – Optimize Images and Convert to WebP or AVIF, das vom Elementor-Hersteller stammt und Bilder komprimiert und in moderne Formate umwandelt, besteht in allen Versionen bis einschließlich 1.7.4 eine Schwachstelle, die das Löschen beliebiger Dateien erlaubt. Über eine unzureichend geprüfte, vom Angreifer kontrollierte Pfad- bzw. Metadaten-Angabe (in der Funktion Image_Backup::remove) kann ein angemeldeter Benutzer ab der Rolle Autor Dateien außerhalb des vorgesehenen Verzeichnisses entfernen — bis hin zu zentralen Dateien, deren Verlust die Seite lahmlegen oder eine weitergehende Übernahme ermöglichen kann. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-73 (externe Kontrolle von Dateiname oder Pfad) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin auf die neueste verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, deaktivieren. Da Werkzeuge aus dem Elementor-Umfeld in vielen — gerade agenturbetreuten — Installationen im Einsatz sind, lohnt hier eine gezielte Bestandsaufnahme.

Quellen: National Vulnerability Database — CVE-2026-5821 · CIRCL — CVE-2026-5821

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.