Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 5. Juli 2026: kritische NoSQL-Injection in cve-search, OIDC-Account-Übernahme in Keycloak und eine Welle von SQL-Injection in PHP-Demo-Anwendungen

5. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 5. Juli 2026 bringt für den engeren Kreis aus WordPress, WooCommerce, Shopware und dem PHP-Kern keine neuen Meldungen. Wir greifen deshalb zwei Lücken aus der weiteren Hosting-Infrastruktur heraus und ordnen zum Schluss eine auffällige Häufung von Meldungen in kleinen PHP-Anwendungen ein.

CVE-2026-59509 — Unauthentifizierte NoSQL-Injection in cve-search (kritisch)

Das quelloffene Werkzeug cve-search, mit dem Sicherheitsteams eine lokale Kopie der Schwachstellen-Datenbank durchsuchen, ist selbst angreifbar: In den Versionen 4.0 bis einschließlich 6.0.0 prüft der Endpunkt POST /fetch_cve_data die übergebenen Parameter nicht, mit denen die abzufragende MongoDB-Sammlung, die zurückgelieferten Felder und die Filterausdrücke bestimmt werden. Weil diese Werte ungeprüft in die Datenbankabfrage einfließen, kann ein Angreifer ohne jede Anmeldung die Abfrage von den eigentlichen CVE-Daten auf beliebige andere Sammlungen der Anwendung umlenken und selbst festlegen, welche Felder ausgegeben werden. Auf diese Weise lässt sich unter anderem die Sammlung mit den Administrator-Konten samt Passwort-Hashes auslesen; die gewonnenen Hashes können anschließend offline geknackt werden, was zur Übernahme des cve-search-Verwaltungskontos führt. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.2 (CVSS 4.0), stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-20 (unzureichende Prüfung von Eingaben) zu. Behoben ist die Schwachstelle mit Version 6.0.1, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-59509 · cve-search — Pull-Request #1218

CVE-2026-14781 — OIDC-Account-Übernahme in Keycloak (mittel)

Im weit verbreiteten Identitäts- und Anmeldedienst Keycloak, der vielen Anwendungen die Single-Sign-On-Anmeldung abnimmt, besteht ein Fehler bei der Anmeldung über einen vorgeschalteten OpenID-Connect-Anbieter. Ist ein solcher Anbieter mit der Einstellung trustEmail=true und aktiviertem userinfo-Endpunkt eingerichtet, liest Keycloak die E-Mail-Adresse aus der userinfo-Antwort, den Bestätigungsstatus email_verified jedoch aus dem id_token — ohne zu prüfen, dass sich beide auf dieselbe Adresse beziehen. Liefern die beiden Quellen unterschiedliche Adressen, wird der Status „bestätigt” fälschlich auf die aus userinfo stammende Adresse übertragen. Ein bösartiger oder fehlkonfigurierter vorgeschalteter Anbieter kann so eine beliebige, unbestätigte E-Mail-Adresse als bestätigt erscheinen lassen. Da die Verknüpfung von Konten häufig an einer bestätigten Adresse festgemacht wird, lässt sich darüber ein fremdes Konto übernehmen. Die National Vulnerability Database vergibt einen CVSS-Wert von 4.8, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-1288 (unzureichende Konsistenzprüfung einer Eingabe) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen. Betreiber sollten, solange keine Korrektur vorliegt, die Kombination aus trustEmail=true und aktiviertem userinfo-Endpunkt für nicht vertrauenswürdige Anbieter vermeiden und die Hinweise des Herstellers verfolgen.

Quellen: National Vulnerability Database — CVE-2026-14781

Einordnung: eine Welle von SQL-Injection in kleinen PHP-Demo-Anwendungen

Auffällig am 5. Juli 2026 ist weniger eine einzelne Lücke als ein Muster: Innerhalb eines Tages wurde eine ganze Reihe nahezu gleichartiger Schwachstellen in kleinen PHP-Lern- und Beispielanwendungen veröffentlicht — etwa im „Multi-Vendor Online Grocery Management System”, in einem „Internship Management System”, einem „Online Examination”-System und mehreren „Hospital Management”-Anwendungen verschiedener Anbieter von Quelltext-Vorlagen. Ganz überwiegend handelt es sich um SQL-Injection (CWE-89), teils ohne Anmeldung ausnutzbar; im Fall des „Syllabus-Aligned Learning Management and Examination System” kommt ein unbeschränkter Datei-Upload (CWE-434) hinzu, über den sich ein Schadskript hochladen und ausführen lässt, wofür bereits ein öffentlicher Nachweis vorliegt. Diese Anwendungen tragen durchgängig die Versionsnummer 1.0, erhalten keine Korrektur und haben in der Praxis eine zu vernachlässigende Verbreitung. Für sich genommen ist keine dieser Meldungen berichtenswert; in der Summe sind sie aber eine nützliche Erinnerung: Quelltext-Vorlagen und Tutorial-Projekte sind für das Lernen gedacht, nicht für den Produktivbetrieb. Wer solchen Code dennoch einsetzt, sollte ihn strikt vom übrigen Hosting trennen und davon ausgehen, dass er nicht gepflegt wird.

Quellen: National Vulnerability Database — CVE-2026-14690 · National Vulnerability Database — CVE-2026-14698

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.