Sicherheits-Bulletin vom 7. Juli 2026: Lieferketten-Backdoor in Uncanny Automator Pro, Codeausführung in WPFunnels, Datei-Löschung im Frontend File Manager und Datei-Schreiben in AMP for WP
7. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 7. Juli 2026 sticht deutlich heraus: Im Mittelpunkt steht ein Lieferketten-Angriff auf ein verbreitetes Automatisierungs-Plugin, begleitet von drei weiteren schwerwiegenden Lücken — bei zweien liegt bislang keine Korrektur vor.
CVE-2026-12375 — Lieferketten-Backdoor in Uncanny Automator Pro (kritisch)
Der Hersteller des Automatisierungs-Plugins Uncanny Automator hat einen Sicherheitsvorfall
offengelegt: Um den 12. Juni 2026 verschafften sich Angreifer über eine Schwachstelle in
Fremdsoftware Zugriff auf die Update-Auslieferungs-Infrastruktur des Herstellers und ersetzten
das ausgelieferte Update-Paket der kostenpflichtigen Pro-Variante durch einen manipulierten,
mit einer Hintertür versehenen Build. Betroffen ist ausschließlich die als Version 7.3.0.5
gekennzeichnete Pro-Fassung — keine offizielle Veröffentlichung, denn das Änderungsprotokoll
springt von 7.3.0.4 auf 7.3.0.6. Der manipulierte Build wurde nur während eines Zeitfensters
von rund 21 Stunden verteilt; die kostenlose Basis-Version war nicht betroffen. Die
eingeschleuste Hintertür nimmt eine unauthentifizierte HTTP-Anfrage mit dem Parameter
_wplogin entgegen und gewährt darüber eine Administrator-Sitzung, legt zusätzlich versteckte
Administrator-Konten und geplante Aufgaben an und übermittelt die geheimen Schlüssel und
Administrator-Daten der Website an Server der Angreifer. Die National Vulnerability Database
vergibt einen CVSS-Wert von 9.8 und stuft den Vorfall damit als kritisch ein; die passende
Schwachstellenklasse ist CWE-506 (eingebetteter Schadcode). Bereinigt ist die Auslieferung mit
Version 7.3.0.6. Wichtig: Weil es sich um aktive Schadsoftware handelt, genügt ein einfaches
Deinstallieren und Neuinstallieren nicht — wer den Build 7.3.0.5 eingesetzt hat, muss von
einer Kompromittierung ausgehen und eine vollständige Bereinigung des Systems durchführen
(Prüfung auf fremde Administrator-Konten und geplante Aufgaben, Austausch aller geheimen
Schlüssel und Passwörter). Parallel wurde die Lizenz-Datenbank des Herstellers entwendet, die
Namen, E-Mail-Adressen, Lizenzschlüssel und Website-Adressen enthielt (Passwörter lagen nur
gehasht vor, Zahlungsdaten waren nicht betroffen); betroffene Kunden sollten mit gezielten
Phishing-Versuchen rechnen.
Quellen: National Vulnerability Database — CVE-2026-12375 · Uncanny Automator — Sicherheitshinweis zum Vorfall
CVE-2026-14345 — Unauthentifizierte Codeausführung in WPFunnels (kritisch)
Im Funnel-Baukasten WPFunnels für WooCommerce besteht in allen Versionen bis einschließlich
3.12.7 eine ohne Anmeldung ausnutzbare Codeausführung durch das Vergiften einer Protokolldatei.
Eine über den Parameter postData an einen öffentlich erreichbaren Optin-Endpunkt übergebene
Eingabe wird ohne Bereinigung in eine .log-Datei geschrieben, deren Pfad sich per PHP
einbinden lässt; der zum Endpunkt gehörende Sicherheits-Token ist im Quelltext jeder
Funnel-Seite sichtbar, sodass das Einschleusen keiner Anmeldung bedarf. Die spätere
Anzeige-Routine der Protokolldatei bindet diese per include_once ein und führt dabei jeden
darin abgelegten PHP-Code aus. Sobald die Protokollierung aktiviert ist und ein Administrator
die Protokoll-Ansicht öffnet, wird der eingeschleuste Code auf dem Server ausgeführt, was zur
vollständigen Übernahme der Website führt. Die National Vulnerability Database vergibt einen
CVSS-Wert von 9.8, stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse
CWE-434 zu. Behoben ist die Schwachstelle mit Version 3.12.8, auf die Betreiber unverzüglich
aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-14345 · CVE-Record — CVE-2026-14345
CVE-2026-12277 — Unauthentifizierte Datei-Löschung im Frontend File Manager (hoch)
Im Plugin Frontend File Manager besteht in allen Versionen bis einschließlich 23.6 eine ohne
Anmeldung ausnutzbare Schwachstelle vom Typ Pfad-Manipulation, sofern der Gast- beziehungsweise
Frontend-Upload-Modus aktiviert ist. Die Lösch-Routine leitet den Zielpfad aus einer vom Nutzer
kontrollierten Angabe (einem gespeicherten Datei-Metadatenpfad) ab und löscht die Datei, ohne
den Pfad auf das vorgesehene Upload-Verzeichnis zu begrenzen. Ein Angreifer kann die Löschung
dadurch auf beliebige Dateien außerhalb des Upload-Ordners richten — einschließlich der zentralen
Konfigurationsdatei wp-config.php. Deren Entfernung versetzt WordPress zurück in die
Ersteinrichtung, die ein Angreifer auf eine eigene Datenbank umlenken und so die Installation
übernehmen kann; das Löschen weiterer Kern- oder Inhaltsdateien führt zudem zu Ausfall und
Datenverlust. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.7, stuft die
Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende Begrenzung
eines Pfadnamens) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version
ausgewiesen; Betreiber sollten den Gast-/Frontend-Upload-Modus deaktivieren und das Plugin,
solange keine Korrektur vorliegt, außer Betrieb nehmen.
Quellen: National Vulnerability Database — CVE-2026-12277 · WPScan — Frontend File Manager Plugin
CVE-2026-6101 — Datei-Schreiben über unsicheres ZIP-Entpacken in AMP for WP (hoch)
Im weit verbreiteten Plugin AMP for WP – Accelerated Mobile Pages, das auf über 100.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 1.1.12 eine Schwachstelle beim Entpacken hochgeladener ZIP-Archive. Die Funktion zum Hochladen lokaler Schriftarten entpackt ein Archiv, ohne die enthaltenen Datei-Pfade zu prüfen, und entfernt verschachtelte Verzeichnisse beim Aufräumen nicht zuverlässig — dadurch lassen sich Dateien an vom Angreifer gewählten, über das Web erreichbaren Pfaden ablegen. Ein angemeldeter Nutzer ab der Rolle „Autor” kann so beliebige Dateien auf den Server schreiben; auf Servern, die PHP im Upload-Verzeichnis ausführen, lässt sich dies zur Codeausführung aus der Ferne und damit zur vollständigen Kontrolle über die Website ausweiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-73 (externe Kontrolle über einen Dateinamen oder -pfad) zu; die hohe Angriffskomplexität spiegelt die Bedingungen wider, die für ein zuverlässiges Schreiben erfüllt sein müssen. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten die Vergabe von Autoren-Rechten streng begrenzen und die Hinweise des Herstellers verfolgen.
Quellen: National Vulnerability Database — CVE-2026-6101
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.