Sicherheits-Bulletin vom 6. Juli 2026: Befehls-Injektion in File-Manager-Plugins, Datei-Upload in FileOrganizer, Rechteausweitung in Admin and Site Enhancements und Cross-Site-Scripting in Simple Membership
6. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 6. Juli 2026 fällt für WordPress deutlich ergiebiger aus: Wir greifen vier hoch bis kritisch bewertete Lücken in weit verbreiteten Plugins zur Dateiverwaltung, zur Administrations-Erweiterung und zur Mitgliederverwaltung heraus.
CVE-2026-6382 — Befehls-Injektion in mehreren File-Manager-Plugins (kritisch)
In gleich mehreren, zusammen millionenfach installierten Plugins zur Dateiverwaltung —
FileOrganizer, Advanced File Manager, File Manager Pro und File Manager — besteht eine
Schwachstelle vom Typ Befehls-Injektion (OS Command Injection). Bei Bildbearbeitungs-Vorgängen
setzen die Plugins eine Kommandozeile für das ImageMagick-Werkzeug convert zusammen, ohne
einen vom Nutzer beeinflussbaren Parameter ausreichend zu maskieren, sodass sich über
Sonderzeichen zusätzliche Betriebssystem-Befehle einschleusen lassen. Der verwundbare Pfad
wird allerdings nur erreicht, wenn auf dem Server das ImageMagick-Kommandozeilenprogramm
vorhanden ist, während die PHP-Erweiterungen imagick und GD fehlen — nur dann weicht PHP auf
den Aufruf von convert aus. Ein angemeldeter Nutzer mit Zugriff auf die Dateiverwaltung kann
dadurch beliebige Befehle mit den Rechten des Webservers ausführen, was bis zur vollständigen
Übernahme des Servers reicht. Die National Vulnerability Database vergibt einen CVSS-Wert von
9.1, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-78
(Betriebssystem-Befehls-Injektion) zu. Behoben ist die Schwachstelle mit FileOrganizer 1.1.9,
Advanced File Manager 5.4.12, File Manager Pro 2.1.1 und File Manager 8.0.4, auf die Betreiber
unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-6382
CVE-2026-11962 — Datei-Upload mit Codeausführung in FileOrganizer (hoch)
Im Plugin FileOrganizer besteht in allen Versionen vor 1.2.0 zusätzlich eine Schwachstelle vom Typ unbeschränkter Datei-Upload. Die ursprüngliche Korrektur einer früheren Lücke (CVE-2024-7985) hatte die Prüfung des Dateityps nur auf den primären Upload-Pfad des Dateiverwaltungs-Handlers angewandt; mehrere weitere Datei-Operationen desselben Handlers schreiben Dateien jedoch weiterhin ohne Prüfung von Typ oder Endung. Ein angemeldeter Nutzer mit Zugriff auf die Dateiverwaltung — eine Rolle, die deutlich unterhalb des Administrators liegen kann und mit kostenpflichtigen Zusatzmodulen weiteren Rollen offensteht — kann darüber eine PHP-Datei in ein über das Web erreichbares Verzeichnis ablegen und ausführen lassen, was zur Codeausführung aus der Ferne und zur vollständigen Kompromittierung der Website führt. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload gefährlicher Dateitypen) zu. Behoben ist die Schwachstelle mit Version 1.2.0, die zugleich die zuvor genannte Befehls-Injektion abdeckt; Betreiber von FileOrganizer sollten unmittelbar auf 1.2.0 aktualisieren.
Quellen: National Vulnerability Database — CVE-2026-11962
CVE-2026-12083 — Unauthentifizierte Rechteausweitung in Admin and Site Enhancements (hoch)
Im Plugin Admin and Site Enhancements (ASE) sowie dessen Pro-Variante, die auf rund 90.000 bis 100.000 Websites im Einsatz sind, besteht in den Versionen 7.6.3 bis einschließlich 8.8.3 eine unauthentifizierte Rechteausweitung. Der Handler zur Wiederherstellung von Rollen, Teil der Funktion „View Admin as Role”, nimmt eine Anfrage ohne jede Prüfung von Anmeldung, Berechtigung oder Sicherheits-Token entgegen. Da die Funktion die ursprüngliche Rolle eines Kontos speichert, wenn dieses vorübergehend herabgestuft wird, kann eine Anfrage ohne Anmeldung die Wiederherstellung eines zuvor degradierten Administrator-Kontos auslösen und diesem die vollen Administrator-Rechte zurückgeben. Voraussetzung ist, dass ein solches herabgestuftes Administrator-Konto auf der Website bereits existiert; dies ist ein unvollständiger Fix früherer Lücken (CVE-2024-43333 und CVE-2025-24648), der nur einen der Herabstufungs-Pfade geschlossen hatte. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-269 (fehlerhafte Rechteverwaltung) zu. Behoben ist die Schwachstelle mit Version 8.8.4, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-12083 · CVE-Record — CVE-2026-12083
CVE-2026-11855 — Unauthentifiziertes Cross-Site-Scripting in Simple Membership (hoch)
Im Mitglieder-Plugin Simple Membership, das auf über 40.000 Websites läuft, besteht in allen Versionen vor 4.7.5 ein ohne Anmeldung auslösbares gespeichertes Cross-Site-Scripting über den Stripe-Webhook. Der Handler für Stripe-Webhooks prüft die Signatur der eingehenden Anfrage nur, wenn ein Signatur-Geheimnis hinterlegt ist — und dieses Feld ist standardmäßig leer. Ohne gesetztes Geheimnis nimmt der Endpunkt gefälschte Webhook-Anfragen an, und ein Wert aus der Webhook-Nutzlast wird ohne Maskierung in einen Hinweis im Administrationsbereich geschrieben. Ein Angreifer sendet ohne Anmeldung eine präparierte Webhook-Anfrage; sobald ein angemeldeter Administrator den daraus erzeugten Hinweis aufruft, wird der eingeschleuste JavaScript-Code in dessen Sitzung ausgeführt — was etwa das Anlegen weiterer Administrator-Konten oder die Übernahme der Website ermöglicht. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 4.7.5, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-11855 · CVE-Record — CVE-2026-11855
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.