Sicherheits-Bulletin vom 5. Juli 2026: kritische NoSQL-Injection in cve-search, OIDC-Account-Übernahme in Keycloak und eine Welle von SQL-Injection in PHP-Demo-Anwendungen
5. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 5. Juli 2026 bringt für den engeren Kreis aus WordPress, WooCommerce, Shopware und dem PHP-Kern keine neuen Meldungen. Wir greifen deshalb zwei Lücken aus der weiteren Hosting-Infrastruktur heraus und ordnen zum Schluss eine auffällige Häufung von Meldungen in kleinen PHP-Anwendungen ein.
CVE-2026-59509 — Unauthentifizierte NoSQL-Injection in cve-search (kritisch)
Das quelloffene Werkzeug cve-search, mit dem Sicherheitsteams eine lokale Kopie der
Schwachstellen-Datenbank durchsuchen, ist selbst angreifbar: In den Versionen 4.0 bis
einschließlich 6.0.0 prüft der Endpunkt POST /fetch_cve_data die übergebenen Parameter
nicht, mit denen die abzufragende MongoDB-Sammlung, die zurückgelieferten Felder und die
Filterausdrücke bestimmt werden. Weil diese Werte ungeprüft in die Datenbankabfrage
einfließen, kann ein Angreifer ohne jede Anmeldung die Abfrage von den eigentlichen
CVE-Daten auf beliebige andere Sammlungen der Anwendung umlenken und selbst festlegen,
welche Felder ausgegeben werden. Auf diese Weise lässt sich unter anderem die Sammlung mit
den Administrator-Konten samt Passwort-Hashes auslesen; die gewonnenen Hashes können
anschließend offline geknackt werden, was zur Übernahme des cve-search-Verwaltungskontos
führt. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.2 (CVSS 4.0),
stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-20
(unzureichende Prüfung von Eingaben) zu. Behoben ist die Schwachstelle mit Version 6.0.1,
auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-59509 · cve-search — Pull-Request #1218
CVE-2026-14781 — OIDC-Account-Übernahme in Keycloak (mittel)
Im weit verbreiteten Identitäts- und Anmeldedienst Keycloak, der vielen Anwendungen die
Single-Sign-On-Anmeldung abnimmt, besteht ein Fehler bei der Anmeldung über einen
vorgeschalteten OpenID-Connect-Anbieter. Ist ein solcher Anbieter mit der Einstellung
trustEmail=true und aktiviertem userinfo-Endpunkt eingerichtet, liest Keycloak die
E-Mail-Adresse aus der userinfo-Antwort, den Bestätigungsstatus email_verified jedoch
aus dem id_token — ohne zu prüfen, dass sich beide auf dieselbe Adresse beziehen. Liefern
die beiden Quellen unterschiedliche Adressen, wird der Status „bestätigt” fälschlich auf die
aus userinfo stammende Adresse übertragen. Ein bösartiger oder fehlkonfigurierter
vorgeschalteter Anbieter kann so eine beliebige, unbestätigte E-Mail-Adresse als bestätigt
erscheinen lassen. Da die Verknüpfung von Konten häufig an einer bestätigten Adresse
festgemacht wird, lässt sich darüber ein fremdes Konto übernehmen. Die National Vulnerability
Database vergibt einen CVSS-Wert von 4.8, stuft die Lücke als mittel ein und ordnet sie der
Schwachstellenklasse CWE-1288 (unzureichende Konsistenzprüfung einer Eingabe) zu. Zum
Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen. Betreiber
sollten, solange keine Korrektur vorliegt, die Kombination aus trustEmail=true und
aktiviertem userinfo-Endpunkt für nicht vertrauenswürdige Anbieter vermeiden und die
Hinweise des Herstellers verfolgen.
Quellen: National Vulnerability Database — CVE-2026-14781
Einordnung: eine Welle von SQL-Injection in kleinen PHP-Demo-Anwendungen
Auffällig am 5. Juli 2026 ist weniger eine einzelne Lücke als ein Muster: Innerhalb eines Tages wurde eine ganze Reihe nahezu gleichartiger Schwachstellen in kleinen PHP-Lern- und Beispielanwendungen veröffentlicht — etwa im „Multi-Vendor Online Grocery Management System”, in einem „Internship Management System”, einem „Online Examination”-System und mehreren „Hospital Management”-Anwendungen verschiedener Anbieter von Quelltext-Vorlagen. Ganz überwiegend handelt es sich um SQL-Injection (CWE-89), teils ohne Anmeldung ausnutzbar; im Fall des „Syllabus-Aligned Learning Management and Examination System” kommt ein unbeschränkter Datei-Upload (CWE-434) hinzu, über den sich ein Schadskript hochladen und ausführen lässt, wofür bereits ein öffentlicher Nachweis vorliegt. Diese Anwendungen tragen durchgängig die Versionsnummer 1.0, erhalten keine Korrektur und haben in der Praxis eine zu vernachlässigende Verbreitung. Für sich genommen ist keine dieser Meldungen berichtenswert; in der Summe sind sie aber eine nützliche Erinnerung: Quelltext-Vorlagen und Tutorial-Projekte sind für das Lernen gedacht, nicht für den Produktivbetrieb. Wer solchen Code dennoch einsetzt, sollte ihn strikt vom übrigen Hosting trennen und davon ausgehen, dass er nicht gepflegt wird.
Quellen: National Vulnerability Database — CVE-2026-14690 · National Vulnerability Database — CVE-2026-14698
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.