Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 7. Juli 2026: Lieferketten-Backdoor in Uncanny Automator Pro, Codeausführung in WPFunnels, Datei-Löschung im Frontend File Manager und Datei-Schreiben in AMP for WP

7. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 7. Juli 2026 sticht deutlich heraus: Im Mittelpunkt steht ein Lieferketten-Angriff auf ein verbreitetes Automatisierungs-Plugin, begleitet von drei weiteren schwerwiegenden Lücken — bei zweien liegt bislang keine Korrektur vor.

CVE-2026-12375 — Lieferketten-Backdoor in Uncanny Automator Pro (kritisch)

Der Hersteller des Automatisierungs-Plugins Uncanny Automator hat einen Sicherheitsvorfall offengelegt: Um den 12. Juni 2026 verschafften sich Angreifer über eine Schwachstelle in Fremdsoftware Zugriff auf die Update-Auslieferungs-Infrastruktur des Herstellers und ersetzten das ausgelieferte Update-Paket der kostenpflichtigen Pro-Variante durch einen manipulierten, mit einer Hintertür versehenen Build. Betroffen ist ausschließlich die als Version 7.3.0.5 gekennzeichnete Pro-Fassung — keine offizielle Veröffentlichung, denn das Änderungsprotokoll springt von 7.3.0.4 auf 7.3.0.6. Der manipulierte Build wurde nur während eines Zeitfensters von rund 21 Stunden verteilt; die kostenlose Basis-Version war nicht betroffen. Die eingeschleuste Hintertür nimmt eine unauthentifizierte HTTP-Anfrage mit dem Parameter _wplogin entgegen und gewährt darüber eine Administrator-Sitzung, legt zusätzlich versteckte Administrator-Konten und geplante Aufgaben an und übermittelt die geheimen Schlüssel und Administrator-Daten der Website an Server der Angreifer. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8 und stuft den Vorfall damit als kritisch ein; die passende Schwachstellenklasse ist CWE-506 (eingebetteter Schadcode). Bereinigt ist die Auslieferung mit Version 7.3.0.6. Wichtig: Weil es sich um aktive Schadsoftware handelt, genügt ein einfaches Deinstallieren und Neuinstallieren nicht — wer den Build 7.3.0.5 eingesetzt hat, muss von einer Kompromittierung ausgehen und eine vollständige Bereinigung des Systems durchführen (Prüfung auf fremde Administrator-Konten und geplante Aufgaben, Austausch aller geheimen Schlüssel und Passwörter). Parallel wurde die Lizenz-Datenbank des Herstellers entwendet, die Namen, E-Mail-Adressen, Lizenzschlüssel und Website-Adressen enthielt (Passwörter lagen nur gehasht vor, Zahlungsdaten waren nicht betroffen); betroffene Kunden sollten mit gezielten Phishing-Versuchen rechnen.

Quellen: National Vulnerability Database — CVE-2026-12375 · Uncanny Automator — Sicherheitshinweis zum Vorfall

CVE-2026-14345 — Unauthentifizierte Codeausführung in WPFunnels (kritisch)

Im Funnel-Baukasten WPFunnels für WooCommerce besteht in allen Versionen bis einschließlich 3.12.7 eine ohne Anmeldung ausnutzbare Codeausführung durch das Vergiften einer Protokolldatei. Eine über den Parameter postData an einen öffentlich erreichbaren Optin-Endpunkt übergebene Eingabe wird ohne Bereinigung in eine .log-Datei geschrieben, deren Pfad sich per PHP einbinden lässt; der zum Endpunkt gehörende Sicherheits-Token ist im Quelltext jeder Funnel-Seite sichtbar, sodass das Einschleusen keiner Anmeldung bedarf. Die spätere Anzeige-Routine der Protokolldatei bindet diese per include_once ein und führt dabei jeden darin abgelegten PHP-Code aus. Sobald die Protokollierung aktiviert ist und ein Administrator die Protokoll-Ansicht öffnet, wird der eingeschleuste Code auf dem Server ausgeführt, was zur vollständigen Übernahme der Website führt. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 zu. Behoben ist die Schwachstelle mit Version 3.12.8, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-14345 · CVE-Record — CVE-2026-14345

CVE-2026-12277 — Unauthentifizierte Datei-Löschung im Frontend File Manager (hoch)

Im Plugin Frontend File Manager besteht in allen Versionen bis einschließlich 23.6 eine ohne Anmeldung ausnutzbare Schwachstelle vom Typ Pfad-Manipulation, sofern der Gast- beziehungsweise Frontend-Upload-Modus aktiviert ist. Die Lösch-Routine leitet den Zielpfad aus einer vom Nutzer kontrollierten Angabe (einem gespeicherten Datei-Metadatenpfad) ab und löscht die Datei, ohne den Pfad auf das vorgesehene Upload-Verzeichnis zu begrenzen. Ein Angreifer kann die Löschung dadurch auf beliebige Dateien außerhalb des Upload-Ordners richten — einschließlich der zentralen Konfigurationsdatei wp-config.php. Deren Entfernung versetzt WordPress zurück in die Ersteinrichtung, die ein Angreifer auf eine eigene Datenbank umlenken und so die Installation übernehmen kann; das Löschen weiterer Kern- oder Inhaltsdateien führt zudem zu Ausfall und Datenverlust. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.7, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende Begrenzung eines Pfadnamens) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten den Gast-/Frontend-Upload-Modus deaktivieren und das Plugin, solange keine Korrektur vorliegt, außer Betrieb nehmen.

Quellen: National Vulnerability Database — CVE-2026-12277 · WPScan — Frontend File Manager Plugin

CVE-2026-6101 — Datei-Schreiben über unsicheres ZIP-Entpacken in AMP for WP (hoch)

Im weit verbreiteten Plugin AMP for WP – Accelerated Mobile Pages, das auf über 100.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 1.1.12 eine Schwachstelle beim Entpacken hochgeladener ZIP-Archive. Die Funktion zum Hochladen lokaler Schriftarten entpackt ein Archiv, ohne die enthaltenen Datei-Pfade zu prüfen, und entfernt verschachtelte Verzeichnisse beim Aufräumen nicht zuverlässig — dadurch lassen sich Dateien an vom Angreifer gewählten, über das Web erreichbaren Pfaden ablegen. Ein angemeldeter Nutzer ab der Rolle „Autor” kann so beliebige Dateien auf den Server schreiben; auf Servern, die PHP im Upload-Verzeichnis ausführen, lässt sich dies zur Codeausführung aus der Ferne und damit zur vollständigen Kontrolle über die Website ausweiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-73 (externe Kontrolle über einen Dateinamen oder -pfad) zu; die hohe Angriffskomplexität spiegelt die Bedingungen wider, die für ein zuverlässiges Schreiben erfüllt sein müssen. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten die Vergabe von Autoren-Rechten streng begrenzen und die Hinweise des Herstellers verfolgen.

Quellen: National Vulnerability Database — CVE-2026-6101

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.