Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 11. Juli 2026: Datei-Lesen in W3 Total Cache, Konto-Übernahme in Essential Addons for Elementor, Zahlungsschlüssel-Leck in Cost Calculator Builder und Datei-Upload in RSFiles!

11. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 11. Juli 2026 bringt erneut zahlreiche Plugin-Lücken. Wir greifen vier heraus — darunter zwei der meistgenutzten WordPress-Plugins überhaupt sowie, für die PHP-Seite, eine mit dem Höchstwert bewertete Joomla-Lücke.

CVE-2026-9282 — Unauthentifiziertes Datei-Lesen in W3 Total Cache (hoch)

Im außerordentlich weit verbreiteten Caching-Plugin W3 Total Cache, das auf über 1.000.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 2.9.4 ein ohne Anmeldung ausnutzbares Datei-Lesen durch Pfad-Manipulation. Im Minify-Teil des Plugins lässt sich bei aktiviertem manuellem Minify-Modus ein Dateiname so gestalten, dass die interne Pfadbegrenzung umgangen wird und die Datei-Lese-Logik einen vom Angreifer bestimmten Pfad verarbeitet. Ein Angreifer ohne Benutzerkonto kann dadurch beliebige Dateien vom Server auslesen — etwa die zentrale Konfigurationsdatei wp-config.php mit Datenbank-Zugangsdaten und geheimen Schlüsseln, aus denen sich weitere Angriffe aufbauen lassen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-22 (unzureichende Begrenzung eines Pfadnamens) zu. Zum Zeitpunkt dieser Veröffentlichung ist keine korrigierte Version ausgewiesen; Betreiber sollten, solange keine Korrektur vorliegt, den manuellen Minify-Modus deaktivieren und die Hinweise des Herstellers verfolgen.

Quellen: National Vulnerability Database — CVE-2026-9282 · Wordfence — W3 Total Cache

CVE-2026-15155 — Konto-Übernahme in Essential Addons for Elementor (hoch)

Im sehr weit verbreiteten Erweiterungs-Plugin Essential Addons for Elementor, das auf über 2.000.000 Websites läuft, besteht in allen Versionen bis einschließlich 6.6.10 eine Möglichkeit zur Konto-Übernahme über eine E-Mail-Kopfzeilen-Injektion. Die E-Mail-Logik des Anmelde- und Registrierungs-Widgets setzt ihre Beschränkung zulässiger Werte nur im Editor im Browser durch, nicht jedoch serverseitig, und entfernt Zeilenumbrüche aus dem übergebenen Wert nicht. Dadurch lässt sich in die ausgehende Passwort-Zurücksetz-E-Mail eines Administrators eine zusätzliche Kopfzeile — etwa ein Blindkopie-Empfänger (Bcc) — einschleusen. Ein angemeldeter Nutzer mit bloßen Autoren-Beitrags-Rechten (Contributor) kann so eine Kopie des gültigen Zurücksetz-Links an eine eigene Adresse ausleiten, damit ein neues Administrator-Passwort setzen und die vollständige Kontrolle über die Website übernehmen. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-640 (schwacher Passwort-Wiederherstellungs-Mechanismus) zu. Behoben ist die Schwachstelle mit Version 6.6.11, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-15155 · Essential Addons for Elementor — Plugin-Verzeichnis

CVE-2026-10865 — Leck von Zahlungsschlüsseln in Cost Calculator Builder (mittel)

Im Kalkulations-Plugin Cost Calculator Builder, das auf über 30.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 4.0.11 eine Offenlegung vertraulicher Daten. Ist bei einem Zahlungsanbieter die Option „in allen Kalkulatoren verwenden” aktiviert, schreibt das Plugin die konfigurierten Zugangsdaten im Klartext in den Quelltext jeder Seite, die einen Kalkulator einbindet — darunter der geheime Stripe-Schlüssel, der geheime Razorpay-Schlüssel und das PayPal-client_secret. Da keine Zugriffsprüfung greift, sind diese Schlüssel für jeden unangemeldeten Besucher schlicht über die Seitenquelle lesbar. Wer sie ausliest, kann sich gegenüber den Zahlungsdiensten als Händler ausgeben und dessen Zahlungskonto übernehmen — also Zahlungen auslösen, Rückerstattungen veranlassen und Transaktions- sowie Kundendaten einsehen. Obwohl die National Vulnerability Database die Lücke mit einem CVSS-Wert von 5.3 als mittel einstuft und der Schwachstellenklasse CWE-200 (Offenlegung vertraulicher Informationen) zuordnet, ist die tatsächliche Tragweite durch die betroffenen Zahlungsschlüssel erheblich. Behoben ist die Schwachstelle mit Version 4.0.12; Betreiber sollten unverzüglich aktualisieren und die betroffenen Zahlungsschlüssel anschließend beim jeweiligen Anbieter neu ausstellen.

Quellen: National Vulnerability Database — CVE-2026-10865 · Cost Calculator Builder — Plugin-Verzeichnis

CVE-2026-57827 — Datei-Upload mit Codeausführung in RSFiles! (kritisch)

In der Joomla-Erweiterung RSFiles! besteht in den Versionen 1.0 bis einschließlich 1.17.11 ein ohne Anmeldung ausnutzbarer Datei-Upload. Der Upload-Handler im Frontend nimmt Dateien ohne Anmeldung und ohne Sicherheits-Token entgegen, und die Routine, die die Datei in das öffentlich erreichbare Download-Verzeichnis schreibt, prüft den Dateityp nicht. Weil die Sicherheitsprüfung und das eigentliche Schreiben der Datei in getrennten Code-Pfaden liegen und nur einer davon abgesichert ist, lässt sich der Schreib-Pfad ungeprüft erreichen. Ein Angreifer kann so eine ausführbare Datei — etwa ein PHP-Skript — hochladen, anschließend direkt aufrufen und damit beliebigen Code ausführen, was zur vollständigen Übernahme der Joomla-Website und des zugrunde liegenden Hosting-Kontos führt. Die National Vulnerability Database vergibt den Höchstwert von 10.0 (CVSS 4.0), stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload gefährlicher Dateitypen) zu. Behoben ist die Schwachstelle mit Version 1.17.12, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-57827

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.