Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 3. Juli 2026: unauthentifiziertes gespeichertes Cross-Site-Scripting in wpDiscuz, Datei-Lesen in AR for WooCommerce und Cross-Site-Scripting in NEX-Forms

3. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 3. Juli 2026 fällt vergleichsweise ruhig aus: Die Meldungen bestehen überwiegend aus gespeichertem Cross-Site-Scripting, kritische Lücken sind keine dabei. Wir greifen die drei wirkungsstärksten heraus — alle ohne Anmeldung ausnutzbar.

CVE-2026-9148 — Unauthentifiziertes gespeichertes Cross-Site-Scripting in wpDiscuz (hoch)

Im Kommentar-Plugin Comments – wpDiscuz, einem der meistgenutzten Kommentarsysteme für WordPress, besteht in allen Versionen bis einschließlich 7.6.56 ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting. Das von einem Gast-Kommentar übergebene Website-Feld wird beim Ermitteln des Kommentar-Autors (getCommentAuthor) nicht ausreichend bereinigt, sodass ein Angreifer ohne jedes Benutzerkonto über einen schlichten Kommentar Schadcode hinterlegen kann. Dieser wird anschließend im Browser anderer Nutzer ausgeführt, sobald diese die betroffene Seite oder die Kommentarverwaltung öffnen — was bis zur Übernahme einer Moderatoren- oder Administrator-Sitzung führen kann. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.2, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 7.6.57, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-9148 · CVE-Record — CVE-2026-9148

CVE-2026-14352 — Unauthentifiziertes Datei-Lesen in AR for WooCommerce (hoch)

Im WooCommerce-Plugin AR for WooCommerce des Herstellers webandprint besteht in allen Versionen bis einschließlich 8.40 eine ohne Anmeldung ausnutzbare Schwachstelle vom Typ Pfad-Manipulation (Path Traversal). Über den Parameter file wird ein Dateipfad nicht ausreichend eingegrenzt, sodass ein Angreifer beliebige Dateien vom Server auslesen kann — einschließlich sensibler Konfigurationsdateien, aus denen sich etwa Datenbank-Zugangsdaten gewinnen lassen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende Begrenzung eines Pfadnamens auf ein eingeschränktes Verzeichnis) zu. Behoben ist die Schwachstelle mit Version 8.41, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-14352 · Wordfence — AR for WooCommerce CVE-2026-14352

CVE-2026-13040 — Unauthentifiziertes gespeichertes Cross-Site-Scripting in NEX-Forms (hoch)

Im Formular-Plugin NEX-Forms – Ultimate Forms Plugin besteht in allen Versionen bis einschließlich 9.2.2 ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting. Ursache ist eine unzureichende Bereinigung des über den Parameter real_val__ übergebenen Werts, sodass ein Angreifer ohne Anmeldung Schadcode hinterlegen kann, der später im Browser anderer Nutzer — insbesondere im Administrationsbereich beim Sichten der Formular-Einsendungen — ausgeführt wird. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.2, stuft die Lücke damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin auf die neueste verfügbare Version aktualisieren und, solange keine Korrektur vorliegt, deaktivieren.

Quellen: National Vulnerability Database — CVE-2026-13040 · Wordfence — NEX-Forms CVE-2026-13040

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.