Sicherheits-Bulletin vom 10. Juli 2026: Datei-Upload in Super Forms, Authentifizierungs-Umgehung in miniOrange Social Login, SQL-Injection in Ultimate Member und Zahlungs-Manipulation in SureForms
10. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 10. Juli 2026 bringt erneut zahlreiche Plugin-Lücken. Wir greifen vier heraus — zwei kritische, ohne Anmeldung ausnutzbare Lücken sowie zwei weitere in Plugins mit je über 200.000 Installationen.
CVE-2026-14894 — Datei-Upload mit Codeausführung in Super Forms (kritisch)
Im Formular-Baukasten Super Forms – Drag & Drop Form Builder besteht in allen Versionen bis einschließlich 6.3.313 ein ohne Anmeldung ausnutzbarer Datei-Upload. Der für nicht angemeldete Nutzer erreichbare Handler zum Absenden von Formularen prüft weder Dateityp und Endung noch die Berechtigung des Aufrufers. Die einzige Hürde ist ein sitzungsbezogenes Sicherheits-Token — doch dieses Token samt Sitzungs-Cookie kann sich jeder unauthentifizierte Besucher über eine separate, ebenfalls offene Schnittstelle selbst ausstellen lassen, sodass es keine echte Zugangssperre darstellt. Mit zwei Anfragen — einer zum Beschaffen des Tokens, einer zum Absenden eines Formulars mit angehängter PHP-Datei — kann ein Angreifer eine ausführbare Datei in das Upload-Verzeichnis der Website schreiben, anschließend aufrufen und damit beliebigen Code ausführen. Das bedeutet die vollständige Übernahme der Website und des zugrunde liegenden Hosting-Kontos. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload gefährlicher Dateitypen) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten das Plugin, solange keine Korrektur vorliegt, außer Betrieb nehmen.
Quellen: National Vulnerability Database — CVE-2026-14894
CVE-2026-12761 — Authentifizierungs-Umgehung in miniOrange Social Login (kritisch)
Im Anmelde-Plugin miniOrange Social Login and Register besteht in allen Versionen bis einschließlich 7.7.0 eine ohne Anmeldung ausnutzbare Authentifizierungs-Umgehung. Betroffen ist der Schritt zur Profilvervollständigung, in dem ein über einen sozialen Dienst angemeldeter Nutzer vor dem Anlegen oder Verknüpfen eines Kontos ein Einmalpasswort bestätigen soll. Diese Prüfung wird nicht ausreichend durchgesetzt, sodass eine unauthentifizierte Anfrage die Einmalpasswort-Hürde ohne gültigen Code passieren und den Ablauf dazu bringen kann, sich als ein beliebiges bestehendes Konto — auch als Administrator — anzumelden. Ein Angreifer ohne jede Vorberechtigung erlangt damit vollen Zugriff auf den Administrationsbereich, was der vollständigen Übernahme der Website gleichkommt. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8 und stuft die Lücke damit als kritisch ein. Behoben ist die Schwachstelle mit Version 7.8.0, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-12761 · WPScan — miniOrange Social Login
CVE-2026-15290 — Unauthentifizierte SQL-Injection in Ultimate Member (hoch)
Im weit verbreiteten Mitglieder-Plugin Ultimate Member, das auf über 200.000 Websites im Einsatz
ist, besteht in allen Versionen bis einschließlich 2.10.1 eine ohne Anmeldung ausnutzbare blinde
SQL-Injection. Die Suchfunktion des Mitglieder-Verzeichnisses fügt die über den Parameter search
übergebene Eingabe in eine SQL-Abfrage ein, ohne sie zu maskieren oder über eine vorbereitete
Anweisung zu führen. Ein Angreifer ohne Benutzerkonto kann darüber zusätzliche SQL-Befehle
einschleusen und beliebige Daten aus der WordPress-Datenbank auslesen — Benutzerdaten,
Passwort-Hashes und sitzungsbezogenes Material. Bemerkenswert ist, dass es sich um eine Folge einer
nur unvollständig behobenen früheren Lücke (CVE-2025-0308) handelt: Die Korrektur in Version 2.9.2
schloss den Einfallsweg nur teilweise, sodass er bis einschließlich 2.10.1 ausnutzbar blieb. Die
National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und
ordnet sie der Schwachstellenklasse CWE-89 (SQL-Injection) zu. Die Korrektur wurde nach Version
2.10.1 eingespielt; da eine konkrete korrigierte Versionsnummer noch nicht ausgewiesen ist, sollten
Betreiber unverzüglich auf die jeweils neueste verfügbare Version aktualisieren.
Quellen: National Vulnerability Database — CVE-2026-15290
CVE-2026-15288 — Unauthentifizierte Zahlungs-Manipulation in SureForms (hoch)
Im Formular-Baukasten SureForms – Drag and Drop Form Builder, der auf über 200.000 Websites läuft, besteht in allen Versionen bis einschließlich 2.2.1 eine ohne Anmeldung ausnutzbare Manipulation des Zahlungsbetrags. Die Handler zur Anlage von Stripe-Zahlungen lesen den zu belastenden Betrag direkt aus den vom Formular übermittelten Daten und gleichen ihn nicht gegen den serverseitig konfigurierten Preis des Formulars ab. Da diese Endpunkte ohne Anmeldung erreichbar sind, kann ein Angreifer einen beliebigen — etwa nahezu null — Betrag einsetzen, aus dem anschließend der Stripe-Zahlungsvorgang gebildet wird, und so eine kostenpflichtige Einreichung ohne korrekte Zahlung abschließen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-20 (unzureichende Prüfung von Eingaben) zu. Behoben ist die Schwachstelle mit Version 2.2.2, die den Betrag serverseitig gegen die Formular-Konfiguration abgleicht; Betreiber sollten unverzüglich aktualisieren.
Quellen: National Vulnerability Database — CVE-2026-15288
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.