Sicherheits-Bulletin vom 2. Juli 2026: kritische unauthentifizierte Remote-Code-Execution in Divi Form Builder, Datei-Löschung in Printcart, Datei-Lesen in Ninja Forms File Uploads und Datei-Löschung im Elementor-Plugin Image Optimizer
2. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 2. Juli 2026 ist ein ereignisreicher Tag — wir greifen vier Schwachstellen heraus, die sich alle um unsichere Dateiverarbeitung drehen. Die ersten drei sind ohne Anmeldung ausnutzbar und jeweils bereits behoben; die vierte betrifft ein im Elementor-Umfeld verbreitetes Plugin, setzt mindestens die Rolle Autor voraus und ist noch nicht korrigiert.
CVE-2026-5524 — Unauthentifizierte Codeausführung in Divi Form Builder (kritisch)
Im Plugin Divi Form Builder, einer Formular-Erweiterung für das weit verbreitete
Divi-Theme, besteht in allen Versionen bis einschließlich 5.1.8 eine kritische, ohne
Anmeldung ausnutzbare Schwachstelle. Die Routine zum Hochladen von Bildern
(do_image_upload) prüft die erlaubten Dateitypen nur unzureichend — die zugrunde liegende
Filterung lässt sich umgehen, sodass ein Angreifer statt eines Bildes eine ausführbare
PHP-Datei hochladen kann. Damit wird aus dem reinen Datei-Upload eine vollständige
Codeausführung und in der Folge die Übernahme der Seite. Die National Vulnerability Database
vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der
Schwachstellenklasse CWE-434 (unbeschränkter Upload von Dateien gefährlichen Typs) zu.
Behoben ist die Schwachstelle mit Version 5.1.9, auf die Betreiber unverzüglich
aktualisieren sollten; zusätzlich empfiehlt sich eine Prüfung des Upload-Verzeichnisses auf
unerwartete Dateien mit Endungen wie .php, .phtml oder .phar.
Quellen: National Vulnerability Database — CVE-2026-5524 · Wordfence — Divi Form Builder CVE-2026-5524
CVE-2026-9725 — Unauthentifizierte Datei-Löschung in Printcart (WooCommerce) (kritisch)
Im WooCommerce-Plugin Printcart Web to Print Product Designer, das Produkt-Designer-
Funktionen für Online-Shops bereitstellt, besteht in allen Versionen bis einschließlich
2.5.2 eine kritische, ohne Anmeldung ausnutzbare Schwachstelle, die das Löschen beliebiger
Dateien erlaubt. Aufgrund einer unzureichenden Prüfung des Dateipfads kann ein Angreifer den
Löschvorgang aus dem vorgesehenen Verzeichnis herausführen und Dateien außerhalb entfernen —
etwa die zentrale Konfigurationsdatei wp-config.php, deren Entfernung den Weg zu einer
vollständigen Übernahme der Seite ebnen kann. Die Schwachstelle wird mit einem CVSS-Wert von
9.1 als kritisch eingestuft. Behoben ist sie mit Version 2.5.3, auf die Betreiber umgehend
aktualisieren sollten. (Hinweis: Der zugehörige NVD-Eintrag war zum Redaktionszeitpunkt
noch reserviert; die Angaben stützen sich auf die Advisories von Wordfence und WPScan.)
Quellen: Wordfence — Printcart CVE-2026-9725 · WPScan — Printcart
CVE-2026-13369 — Unauthentifiziertes Datei-Lesen in Ninja Forms File Uploads (hoch)
In der Erweiterung File Uploads für das Formular-Plugin Ninja Forms besteht in allen
Versionen bis einschließlich 3.3.29 eine ohne Anmeldung ausnutzbare Schwachstelle vom Typ
Pfad-Manipulation (Path Traversal). Bei der Verarbeitung von E-Mail-Anhängen
(attach_files) wird ein Dateipfad nicht ausreichend eingegrenzt, sodass ein Angreifer über
präparierte Pfadangaben beliebige Dateien vom Server auslesen kann — einschließlich
sensibler Konfigurationsdateien. Die National Vulnerability Database vergibt einen CVSS-Wert
von 7.5, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-22
(unzureichende Begrenzung eines Pfadnamens auf ein eingeschränktes Verzeichnis) zu. Behoben
ist die Schwachstelle mit der am selben Tag veröffentlichten Version 3.3.30, auf die
Betreiber zeitnah aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-13369 · Ninja Forms — File Uploads Changelog
CVE-2026-5821 — Datei-Löschung im Elementor-Plugin Image Optimizer (hoch)
Im Plugin Image Optimizer – Optimize Images and Convert to WebP or AVIF, das vom
Elementor-Hersteller stammt und Bilder komprimiert und in moderne Formate umwandelt, besteht
in allen Versionen bis einschließlich 1.7.4 eine Schwachstelle, die das Löschen beliebiger
Dateien erlaubt. Über eine unzureichend geprüfte, vom Angreifer kontrollierte Pfad- bzw.
Metadaten-Angabe (in der Funktion Image_Backup::remove) kann ein angemeldeter Benutzer ab
der Rolle Autor Dateien außerhalb des vorgesehenen Verzeichnisses entfernen — bis hin zu
zentralen Dateien, deren Verlust die Seite lahmlegen oder eine weitergehende Übernahme
ermöglichen kann. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1, stuft
die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-73 (externe
Kontrolle von Dateiname oder Pfad) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine
korrigierte Version ausgewiesen; Betreiber sollten das Plugin auf die neueste verfügbare
Version aktualisieren und, solange keine Korrektur vorliegt, deaktivieren. Da Werkzeuge aus
dem Elementor-Umfeld in vielen — gerade agenturbetreuten — Installationen im Einsatz sind,
lohnt hier eine gezielte Bestandsaufnahme.
Quellen: National Vulnerability Database — CVE-2026-5821 · CIRCL — CVE-2026-5821
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.