Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 12. Juli 2026: Codeausführung in WP Ultimate CSV Importer, Datei-Einbindung in LA-Studio Element Kit, Cross-Site-Scripting in Motors und E-Mail-Manipulation in NEX-Forms

12. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Am Wochenende fallen die Veröffentlichungen für unsere Zielgruppe ruhiger aus; die genuin am 12. Juli gemeldeten Einträge betreffen überwiegend kleine, wenig verbreitete Projekte. Wir greifen deshalb die vier folgenreichsten WordPress-Plugin-Lücken der vergangenen Tage heraus — für alle liegt bereits eine Korrektur vor.

CVE-2026-13353 — Codeausführung in WP Ultimate CSV Importer (hoch)

Im Import-Plugin WP Ultimate CSV Importer besteht in allen Versionen bis einschließlich 8.0.1 eine Möglichkeit zur Codeausführung durch einen angemeldeten Nutzer mit geringsten Rechten. Das Plugin registriert mehrere AJAX-Aktionen (install_addon, saveMappedFields, StartImport) ohne Rechteprüfung, und das für den Administrationsbereich vorgesehene Sicherheits-Token ist für jeden angemeldeten Nutzer lesbar, der eine Verwaltungsseite öffnen kann. Ein Nutzer mit der niedrigsten Rolle (Abonnent) kann darüber das mitgelieferte WooCommerce-Import-Zusatzmodul installieren, anschließend über den Parameter MappedFields vom Angreifer bestimmte PHP-Ausdrücke dauerhaft speichern und diese beim nächsten Import über die interne Funktion zur Ermittlung von Meta-Werten mittels eval() ausführen lassen. Damit läuft beliebiger PHP-Code auf dem Server, was zur vollständigen Übernahme von Website und Hosting-Konto führt. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-94 (unkontrollierte Erzeugung von Code) zu. Behoben ist die Schwachstelle mit Version 8.0.2, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-13353 · WP Ultimate CSV Importer — Plugin-Verzeichnis

CVE-2026-15338 — Lokale Datei-Einbindung in LA-Studio Element Kit (hoch)

Im Erweiterungs-Plugin LA-Studio Element Kit for Elementor, das auf über 10.000 Websites im Einsatz ist, besteht in allen Versionen bis einschließlich 1.6.1 eine lokale Datei-Einbindung (Local File Inclusion). Die Routine zum Laden von Vorlagen setzt einen Einbindungs-Pfad aus einem vom Nutzer übergebenen Vorlagen-„Typ” zusammen und führt ihn durch eine Funktion, die lediglich Verzeichnistrenner vereinheitlicht, „../“-Sequenzen aber weder auflöst noch zurückweist. Die beabsichtigte Endungs-Prüfung greift nicht, weil der aufrufende Code die Endung .php selbst anhängt — ein Pfad-Manipulations-Wert ohne Endung besteht die Prüfung also. Ein angemeldeter Nutzer mit bloßen Beitrags-Rechten (Contributor) kann das Plugin dadurch dazu bringen, eine beliebige, bereits auf dem Server liegende .php-Datei einzubinden und auszuführen; kann er zusätzlich eine eigene Datei ablegen, lässt sich dies bis zur Codeausführung aus der Ferne ausweiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-98 (unzureichende Kontrolle des Dateinamens bei einer Include-Anweisung) zu; die Angriffskomplexität ist als hoch bewertet. Behoben ist die Schwachstelle mit Version 1.6.2, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-15338 · CVE-Record — CVE-2026-15338

CVE-2026-13114 — Unauthentifiziertes Cross-Site-Scripting in Motors (hoch)

Im weit verbreiteten Fahrzeug- und Anzeigen-Plugin Motors – Car Dealership & Classified Listings besteht in allen Versionen bis einschließlich 1.4.112 ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting. Zwei vom Nutzer kontrollierte Felder — der Kommentar-Inhalt und das Profil-Feld zur Person — werden weder bei der Eingabe bereinigt noch bei der Ausgabe maskiert, sodass sich beliebiger HTML- und JavaScript-Code dauerhaft hinterlegen lässt. Da für das Absenden keine Anmeldung erforderlich ist, kann ein Angreifer ohne Benutzerkonto einen Schadcode platzieren, der anschließend im Browser jedes Betrachters der betroffenen Seite — auch eines angemeldeten Administrators — ausgeführt wird. Weil der Wirkungsbereich verändert ist, kann der Code über den Plugin-Kontext hinaus wirken: vom Diebstahl einer Sitzung über Aktionen im Namen des Opfers bis zur Umleitung auf fremde Seiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.2, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 1.4.113, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-13114 · Wordfence — Motors

CVE-2026-9017 — Unauthentifizierte E-Mail-Manipulation in NEX-Forms (mittel)

Im Formular-Plugin NEX-Forms – Ultimate Forms Plugin besteht in allen Versionen bis einschließlich 9.2.2 eine ohne Anmeldung ausnutzbare fehlende Autorisierungsprüfung. Die AJAX-Aktion nf_send_nf_email ist ohne Rechte- oder Eigentümer-Prüfung registriert und daher auch für unauthentifizierte Anfragen erreichbar. Ein Angreifer kann darüber die hinterlegten E-Mail-Adressen eines beliebigen gespeicherten Formular-Eintrags — auch eines fremden — überschreiben und anschließend den Versand mit diesen selbst gewählten Werten auslösen. Damit lassen sich Benachrichtigungen an angreiferkontrollierte Adressen umleiten oder der Versand des Plugins für den Versand fremdbestimmter Nachrichten missbrauchen. Die National Vulnerability Database vergibt einen CVSS-Wert von 5.3, stuft die Lücke als mittel ein und ordnet sie der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit Version 9.2.3, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-9017

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.