Sicherheits-Bulletin vom 3. Juli 2026: unauthentifiziertes gespeichertes Cross-Site-Scripting in wpDiscuz, Datei-Lesen in AR for WooCommerce und Cross-Site-Scripting in NEX-Forms
3. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 3. Juli 2026 fällt vergleichsweise ruhig aus: Die Meldungen bestehen überwiegend aus gespeichertem Cross-Site-Scripting, kritische Lücken sind keine dabei. Wir greifen die drei wirkungsstärksten heraus — alle ohne Anmeldung ausnutzbar.
CVE-2026-9148 — Unauthentifiziertes gespeichertes Cross-Site-Scripting in wpDiscuz (hoch)
Im Kommentar-Plugin Comments – wpDiscuz, einem der meistgenutzten Kommentarsysteme für
WordPress, besteht in allen Versionen bis einschließlich 7.6.56 ein ohne Anmeldung
ausnutzbares gespeichertes Cross-Site-Scripting. Das von einem Gast-Kommentar übergebene
Website-Feld wird beim Ermitteln des Kommentar-Autors (getCommentAuthor) nicht ausreichend
bereinigt, sodass ein Angreifer ohne jedes Benutzerkonto über einen schlichten Kommentar
Schadcode hinterlegen kann. Dieser wird anschließend im Browser anderer Nutzer ausgeführt,
sobald diese die betroffene Seite oder die Kommentarverwaltung öffnen — was bis zur Übernahme
einer Moderatoren- oder Administrator-Sitzung führen kann. Die National Vulnerability
Database vergibt einen CVSS-Wert von 7.2, stuft die Lücke damit als hoch ein und ordnet sie
der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit
Version 7.6.57, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-9148 · CVE-Record — CVE-2026-9148
CVE-2026-14352 — Unauthentifiziertes Datei-Lesen in AR for WooCommerce (hoch)
Im WooCommerce-Plugin AR for WooCommerce des Herstellers webandprint besteht in allen
Versionen bis einschließlich 8.40 eine ohne Anmeldung ausnutzbare Schwachstelle vom Typ
Pfad-Manipulation (Path Traversal). Über den Parameter file wird ein Dateipfad nicht
ausreichend eingegrenzt, sodass ein Angreifer beliebige Dateien vom Server auslesen kann —
einschließlich sensibler Konfigurationsdateien, aus denen sich etwa Datenbank-Zugangsdaten
gewinnen lassen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft
die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende
Begrenzung eines Pfadnamens auf ein eingeschränktes Verzeichnis) zu. Behoben ist die
Schwachstelle mit Version 8.41, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-14352 · Wordfence — AR for WooCommerce CVE-2026-14352
CVE-2026-13040 — Unauthentifiziertes gespeichertes Cross-Site-Scripting in NEX-Forms (hoch)
Im Formular-Plugin NEX-Forms – Ultimate Forms Plugin besteht in allen Versionen bis
einschließlich 9.2.2 ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting.
Ursache ist eine unzureichende Bereinigung des über den Parameter real_val__ übergebenen
Werts, sodass ein Angreifer ohne Anmeldung Schadcode hinterlegen kann, der später im Browser
anderer Nutzer — insbesondere im Administrationsbereich beim Sichten der Formular-Einsendungen
— ausgeführt wird. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.2, stuft
die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-79
(Cross-Site-Scripting) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte
Version ausgewiesen; Betreiber sollten das Plugin auf die neueste verfügbare Version
aktualisieren und, solange keine Korrektur vorliegt, deaktivieren.
Quellen: National Vulnerability Database — CVE-2026-13040 · Wordfence — NEX-Forms CVE-2026-13040
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.