Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 4. Juli 2026: Rechteausweitung in HestiaCP, Speicher-Überlauf im PHP-Kern, gespeichertes Cross-Site-Scripting in Ultimate Member und PII-Manipulation in LatePoint

4. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 4. Juli 2026 bringt zwei Meldungen aus der Hosting-Infrastruktur — eine Rechteausweitung im Control-Panel HestiaCP und ein Sicherheits-Release des PHP-Kerns — sowie zwei weitverbreitete WordPress-Erweiterungen.

CVE-2026-12196 — Rechteausweitung bis zur Server-Übernahme in HestiaCP (hoch)

Im quelloffenen Hosting-Control-Panel HestiaCP besteht in der Cronjob-Funktion eine fehlerhafte Zugriffskontrolle. Die Prüfung, ob eine Aktion dem Administrator vorbehalten ist, vergleicht den Sitzungskontext gegen eine im Skript nicht definierte Variable, die zu einer leeren Zeichenkette ausgewertet wird — die administrative Bedingung greift dadurch nie und die Einschränkung ist wirkungslos. Zusätzlich fehlt an diesem Endpunkt die Prüfung eines CSRF-Tokens. Ein Panel-Nutzer mit geringen Rechten kann dadurch einen privilegierten Cronjob anlegen, der HestiaCP-Verwaltungsskripte über passwortloses sudo aufruft — etwa um das Passwort des Administrator-Kontos zurückzusetzen. Aus einem Konto mit geringen Rechten wird so binnen einer Minute die vollständige Kontrolle über Panel und darunterliegenden Server, also eine Codeausführung aus der Ferne. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.3 (CVSS 4.0) und stuft die Lücke damit als hoch ein; zugeordnet ist sie der Schwachstellenklasse CWE-287 (fehlerhafte Authentifizierung). Behoben ist der Fehler mit dem Korrektur-Commit aus Pull-Request #5440; Betreiber sollten auf eine HestiaCP-Version aktualisieren, die diese Korrektur enthält.

Quellen: National Vulnerability Database — CVE-2026-12196 · HestiaCP — Pull-Request #5440

CVE-2026-14355 — Heap-Überlauf im PHP-Kern bei AES-Schlüsselverpackung (mittel)

Der PHP-Kern hat mit den Sicherheits-Releases 8.2.32, 8.3.32, 8.4.23 und 8.5.8 einen Heap-basierten Pufferüberlauf in der Funktion openssl_encrypt() geschlossen. Bei den Verfahren zur Schlüsselverpackung mit Auffüllung (AES-WRAP-PAD) bemisst die Erweiterung ext/openssl den Ausgabepuffer allein an der Länge des Klartexts. Das Verfahren rundet die Eingabe jedoch auf das nächste Acht-Byte-Vielfache auf und stellt weitere acht Byte voran, so dass der tatsächliche Chiffretext länger ausfällt als der reservierte Speicher — OpenSSL schreibt über dessen Ende hinaus und beschädigt angrenzende Verwaltungsstrukturen des PHP-Speichermanagers. Die National Vulnerability Database vergibt einen CVSS-Wert von 5.6, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-122 (Heap-basierter Pufferüberlauf) zu. Ein Angreifer, der Länge und Inhalt der verpackten Daten beeinflussen kann, bringt den PHP-Prozess damit zum Absturz; die Angriffskomplexität ist hoch, und betroffen sind nur Anwendungen, die diese selten genutzte Betriebsart tatsächlich verwenden. Betreiber sollten auf die genannten korrigierten PHP-Versionen aktualisieren.

Quellen: PHP — Sicherheitshinweis GHSA-7jrw-539f-x6vr · National Vulnerability Database — CVE-2026-14355

CVE-2026-8489 — Gespeichertes Cross-Site-Scripting in Ultimate Member (mittel)

Im weitverbreiteten Mitglieder-Plugin Ultimate Member, das auf über 200.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 2.11.4 ein gespeichertes Cross-Site-Scripting. Der Wert des Profilfelds „Über mich” (about_me) wird ohne ausreichende Bereinigung gespeichert und beim Anzeigen ohne Maskierung ausgegeben, so dass ein hinterlegter Schadcode dauerhaft im Profil verbleibt. Jeder angemeldete Nutzer ab der niedrigsten Rolle (Abonnent) kann darüber ein JavaScript-Fragment in sein eigenes Profil einbetten, das anschließend im Browser jedes Besuchers oder Administrators ausgeführt wird, der die betroffene Profilseite öffnet — bis hin zum Diebstahl einer Sitzung. Da Ultimate Member häufig die offene Selbstregistrierung erlaubt, ist die Abonnenten-Voraussetzung in der Praxis oft trivial zu erfüllen. Die National Vulnerability Database vergibt einen CVSS-Wert von 6.4, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 2.12.0, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-8489 · Ultimate Member — Plugin-Verzeichnis

CVE-2026-11398 — Unauthentifizierte Manipulation von Kundendaten in LatePoint (mittel)

Im Buchungs-Plugin LatePoint, das auf über 100.000 Websites läuft, besteht in allen Versionen bis einschließlich 5.6.1 eine fehlende Autorisierungsprüfung — wirksam allerdings nur, wenn Gast-Buchungen aktiviert sind. Der Bearbeitungsschritt für Kundendaten im Buchungsformular (process_step_customer) ermittelt aus der übermittelten E-Mail-Adresse einen bestehenden Kundendatensatz und überschreibt darin Vorname, Nachname, Telefonnummer und Notizen, ohne zu prüfen, ob der Anfragende zu dieser Änderung berechtigt ist. Weil der Schritt auf dem ohne Anmeldung erreichbaren Buchungspfad liegt, kann ein Angreifer, dem eine gültige Kunden-E-Mail bekannt ist, die hinterlegten personenbezogenen Daten beliebiger Kunden verfälschen — auch solcher, die mit einem Administrator-Profil verknüpft sind. Ein Auslesen von Daten oder ein Ausfall entsteht dabei nicht; betroffen ist die Integrität der Kundendaten, was den Vorgang datenschutzrechtlich relevant macht. Die National Vulnerability Database vergibt einen CVSS-Wert von 5.3, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit Version 5.6.2, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-11398 · CVE-Record — CVE-2026-11398

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.