Sicherheits-Bulletin vom 4. Juli 2026: Rechteausweitung in HestiaCP, Speicher-Überlauf im PHP-Kern, gespeichertes Cross-Site-Scripting in Ultimate Member und PII-Manipulation in LatePoint
4. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 4. Juli 2026 bringt zwei Meldungen aus der Hosting-Infrastruktur — eine Rechteausweitung im Control-Panel HestiaCP und ein Sicherheits-Release des PHP-Kerns — sowie zwei weitverbreitete WordPress-Erweiterungen.
CVE-2026-12196 — Rechteausweitung bis zur Server-Übernahme in HestiaCP (hoch)
Im quelloffenen Hosting-Control-Panel HestiaCP besteht in der Cronjob-Funktion eine
fehlerhafte Zugriffskontrolle. Die Prüfung, ob eine Aktion dem Administrator vorbehalten ist,
vergleicht den Sitzungskontext gegen eine im Skript nicht definierte Variable, die zu einer
leeren Zeichenkette ausgewertet wird — die administrative Bedingung greift dadurch nie und die
Einschränkung ist wirkungslos. Zusätzlich fehlt an diesem Endpunkt die Prüfung eines
CSRF-Tokens. Ein Panel-Nutzer mit geringen Rechten kann dadurch einen privilegierten Cronjob
anlegen, der HestiaCP-Verwaltungsskripte über passwortloses sudo aufruft — etwa um das
Passwort des Administrator-Kontos zurückzusetzen. Aus einem Konto mit geringen Rechten wird
so binnen einer Minute die vollständige Kontrolle über Panel und darunterliegenden Server,
also eine Codeausführung aus der Ferne. Die National Vulnerability Database vergibt einen
CVSS-Wert von 8.3 (CVSS 4.0) und stuft die Lücke damit als hoch ein; zugeordnet ist sie der
Schwachstellenklasse CWE-287 (fehlerhafte Authentifizierung). Behoben ist der Fehler mit dem
Korrektur-Commit aus Pull-Request #5440; Betreiber sollten auf eine HestiaCP-Version
aktualisieren, die diese Korrektur enthält.
Quellen: National Vulnerability Database — CVE-2026-12196 · HestiaCP — Pull-Request #5440
CVE-2026-14355 — Heap-Überlauf im PHP-Kern bei AES-Schlüsselverpackung (mittel)
Der PHP-Kern hat mit den Sicherheits-Releases 8.2.32, 8.3.32, 8.4.23 und 8.5.8 einen
Heap-basierten Pufferüberlauf in der Funktion openssl_encrypt() geschlossen. Bei den
Verfahren zur Schlüsselverpackung mit Auffüllung (AES-WRAP-PAD) bemisst die Erweiterung
ext/openssl den Ausgabepuffer allein an der Länge des Klartexts. Das Verfahren rundet die
Eingabe jedoch auf das nächste Acht-Byte-Vielfache auf und stellt weitere acht Byte voran, so
dass der tatsächliche Chiffretext länger ausfällt als der reservierte Speicher — OpenSSL
schreibt über dessen Ende hinaus und beschädigt angrenzende Verwaltungsstrukturen des
PHP-Speichermanagers. Die National Vulnerability Database vergibt einen CVSS-Wert von 5.6,
stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-122 (Heap-basierter
Pufferüberlauf) zu. Ein Angreifer, der Länge und Inhalt der verpackten Daten beeinflussen
kann, bringt den PHP-Prozess damit zum Absturz; die Angriffskomplexität ist hoch, und betroffen
sind nur Anwendungen, die diese selten genutzte Betriebsart tatsächlich verwenden. Betreiber
sollten auf die genannten korrigierten PHP-Versionen aktualisieren.
Quellen: PHP — Sicherheitshinweis GHSA-7jrw-539f-x6vr · National Vulnerability Database — CVE-2026-14355
CVE-2026-8489 — Gespeichertes Cross-Site-Scripting in Ultimate Member (mittel)
Im weitverbreiteten Mitglieder-Plugin Ultimate Member, das auf über 200.000 Websites im
Einsatz ist, besteht in allen Versionen bis einschließlich 2.11.4 ein gespeichertes
Cross-Site-Scripting. Der Wert des Profilfelds „Über mich” (about_me) wird ohne
ausreichende Bereinigung gespeichert und beim Anzeigen ohne Maskierung ausgegeben, so dass ein
hinterlegter Schadcode dauerhaft im Profil verbleibt. Jeder angemeldete Nutzer ab der
niedrigsten Rolle (Abonnent) kann darüber ein JavaScript-Fragment in sein eigenes Profil
einbetten, das anschließend im Browser jedes Besuchers oder Administrators ausgeführt wird,
der die betroffene Profilseite öffnet — bis hin zum Diebstahl einer Sitzung. Da Ultimate
Member häufig die offene Selbstregistrierung erlaubt, ist die Abonnenten-Voraussetzung in der
Praxis oft trivial zu erfüllen. Die National Vulnerability Database vergibt einen CVSS-Wert von
6.4, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-79
(Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 2.12.0, auf die Betreiber
unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-8489 · Ultimate Member — Plugin-Verzeichnis
CVE-2026-11398 — Unauthentifizierte Manipulation von Kundendaten in LatePoint (mittel)
Im Buchungs-Plugin LatePoint, das auf über 100.000 Websites läuft, besteht in allen Versionen
bis einschließlich 5.6.1 eine fehlende Autorisierungsprüfung — wirksam allerdings nur, wenn
Gast-Buchungen aktiviert sind. Der Bearbeitungsschritt für Kundendaten im Buchungsformular
(process_step_customer) ermittelt aus der übermittelten E-Mail-Adresse einen bestehenden
Kundendatensatz und überschreibt darin Vorname, Nachname, Telefonnummer und Notizen, ohne zu
prüfen, ob der Anfragende zu dieser Änderung berechtigt ist. Weil der Schritt auf dem ohne
Anmeldung erreichbaren Buchungspfad liegt, kann ein Angreifer, dem eine gültige Kunden-E-Mail
bekannt ist, die hinterlegten personenbezogenen Daten beliebiger Kunden verfälschen — auch
solcher, die mit einem Administrator-Profil verknüpft sind. Ein Auslesen von Daten oder ein
Ausfall entsteht dabei nicht; betroffen ist die Integrität der Kundendaten, was den Vorgang
datenschutzrechtlich relevant macht. Die National Vulnerability Database vergibt einen
CVSS-Wert von 5.3, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse
CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit Version 5.6.2, auf die
Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-11398 · CVE-Record — CVE-2026-11398
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.