Sicherheits-Bulletin vom 8. Juli 2026: Plugin-Installation ohne Anmeldung in WP Learn Manager, Zahlungs-Bypass in LatePoint, Konto-Übernahme in Eventer und SQL-Injection in My Calendar
8. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 8. Juli 2026 bringt eine ganze Reihe schwerwiegender Plugin-Lücken. Wir greifen vier heraus, die ohne oder mit nur geringen Rechten ausnutzbar sind — bei dreien liegt bislang keine Korrektur vor.
CVE-2026-12153 — Plugin-Installation ohne Anmeldung in WP Learn Manager (kritisch)
Im Lernmanagement-Plugin WP Learn Manager besteht in allen Versionen bis einschließlich 1.1.8 eine fehlende Autorisierungsprüfung. Die Routine, die Plugins aus dem WordPress.org-Verzeichnis herunterlädt, installiert und aktiviert, prüft die Berechtigung des Aufrufers nicht, sodass die Aktion für jede Anfrage — auch eine unauthentifizierte — erreichbar ist. Ein Angreifer ohne jedes Benutzerkonto kann die Website dadurch dazu bringen, beliebige Plugins zu installieren und zu aktivieren; aktiviert er ein Plugin, das seinerseits eine bekannte ausnutzbare Lücke enthält, lässt sich die Kette bis zur Codeausführung und vollständigen Übernahme der Website weiterführen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin, solange keine Korrektur vorliegt, außer Betrieb nehmen.
Quellen: National Vulnerability Database — CVE-2026-12153
CVE-2026-5356 — Unauthentifizierter Zahlungs-Bypass in LatePoint (hoch)
Im Buchungs-Plugin LatePoint, das auf über 100.000 Websites läuft, besteht in allen Versionen bis einschließlich 5.4.0 ein ohne Anmeldung ausnutzbarer Zahlungs-Bypass in der Anbindung an Stripe Connect. Bei der Bestätigung, dass eine Buchung bezahlt wurde, vertraut das Plugin einer vom Client übergebenen Kennung des Zahlungsvorgangs (PaymentIntent) und prüft lediglich, dass dieser Vorgang den Status „erfolgreich” trägt — nicht jedoch, ob der abgebuchte Betrag dem Buchungspreis entspricht oder ob der Vorgang überhaupt zur aktuellen Transaktion gehört. Ein Angreifer kann daher die Kennung eines früheren, erfolgreichen Zahlungsvorgangs mit geringerem Betrag erneut einreichen; die Website behandelt die Buchung dann als bezahlt, ohne den korrekten Betrag einzuziehen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber, die LatePoint mit Stripe Connect einsetzen, sollten die Hinweise des Herstellers verfolgen und bis zu einer Korrektur die Buchungen auf korrekte Zahlungseingänge abgleichen.
Quellen: National Vulnerability Database — CVE-2026-5356
CVE-2026-9701 und CVE-2026-9700 — Konto-Übernahme in Eventer (kritisch)
Im Event- und Buchungs-Plugin Eventer greifen in allen Versionen bis einschließlich 4.4.2 zwei
Schwachstellen ineinander, die zusammen zur Übernahme beliebiger Konten führen. Zum einen legt
der eigene Passwort-Zurücksetzen-Ablauf den Zurücksetz-Code im Klartext in der Datenbank
(wp_usermeta) ab, statt ihn zu verschlüsseln (CVE-2026-9701, CWE-289) — wer diesen Eintrag
lesen kann, erhält einen gültigen Zurücksetz-Code. Zum anderen erlaubt eine ohne Anmeldung
ausnutzbare zeitbasierte blinde SQL-Injection über den Parameter code (CVE-2026-9700, CWE-89)
genau dieses Auslesen beliebiger Datenbank-Inhalte. Ein Angreifer ohne Benutzerkonto kann so den
Klartext-Code eines beliebigen Kontos — auch eines Administrators — auslesen und anschließend
über die Zurücksetz-Funktion ein neues Passwort setzen, was die vollständige Übernahme der
Website ermöglicht (der Ablauf greift laut National Vulnerability Database nur unter PHP 7.4 und
älter). Die National Vulnerability Database vergibt für die Zurücksetz-Lücke einen CVSS-Wert von
9.8 (kritisch) und für die SQL-Injection einen Wert von 7.5 (hoch). Zum Zeitpunkt dieser
Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin,
solange keine Korrektur vorliegt, außer Betrieb nehmen.
Quellen: National Vulnerability Database — CVE-2026-9701 · National Vulnerability Database — CVE-2026-9700
CVE-2026-6854 — Unauthentifizierte SQL-Injection in My Calendar (hoch)
Im Kalender-Plugin My Calendar – Accessible Event Manager, das auf über 20.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 3.7.8 eine ohne Anmeldung ausnutzbare zeitbasierte blinde SQL-Injection. Eine vom Angreifer kontrollierte Eingabe fließt ohne ausreichende Maskierung und ohne vorbereitete Anweisung in eine Datenbankabfrage ein; da das Plugin keine direkte Ausgabe zurückgibt, erfolgt das Auslesen zeitbasiert, indem gezielt Verzögerungen eingefügt und die Daten Zeichen für Zeichen erschlossen werden. Ein Angreifer ohne Benutzerkonto kann darüber beliebige Daten aus der WordPress-Datenbank auslesen, einschließlich Benutzerdaten, Passwort-Hashes und sitzungsbezogener Merkmale. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-89 (SQL-Injection) zu. Behoben ist die Schwachstelle mit Version 3.7.9, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-6854 · My Calendar — Plugin-Verzeichnis
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.