Sicherheits-Bulletin vom 12. Juli 2026: Codeausführung in WP Ultimate CSV Importer, Datei-Einbindung in LA-Studio Element Kit, Cross-Site-Scripting in Motors und E-Mail-Manipulation in NEX-Forms
12. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Am Wochenende fallen die Veröffentlichungen für unsere Zielgruppe ruhiger aus; die genuin am 12. Juli gemeldeten Einträge betreffen überwiegend kleine, wenig verbreitete Projekte. Wir greifen deshalb die vier folgenreichsten WordPress-Plugin-Lücken der vergangenen Tage heraus — für alle liegt bereits eine Korrektur vor.
CVE-2026-13353 — Codeausführung in WP Ultimate CSV Importer (hoch)
Im Import-Plugin WP Ultimate CSV Importer besteht in allen Versionen bis einschließlich 8.0.1
eine Möglichkeit zur Codeausführung durch einen angemeldeten Nutzer mit geringsten Rechten. Das
Plugin registriert mehrere AJAX-Aktionen (install_addon, saveMappedFields, StartImport)
ohne Rechteprüfung, und das für den Administrationsbereich vorgesehene Sicherheits-Token ist für
jeden angemeldeten Nutzer lesbar, der eine Verwaltungsseite öffnen kann. Ein Nutzer mit der
niedrigsten Rolle (Abonnent) kann darüber das mitgelieferte WooCommerce-Import-Zusatzmodul
installieren, anschließend über den Parameter MappedFields vom Angreifer bestimmte
PHP-Ausdrücke dauerhaft speichern und diese beim nächsten Import über die interne Funktion zur
Ermittlung von Meta-Werten mittels eval() ausführen lassen. Damit läuft beliebiger PHP-Code auf
dem Server, was zur vollständigen Übernahme von Website und Hosting-Konto führt. Die National
Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet
sie der Schwachstellenklasse CWE-94 (unkontrollierte Erzeugung von Code) zu. Behoben ist die
Schwachstelle mit Version 8.0.2, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-13353 · WP Ultimate CSV Importer — Plugin-Verzeichnis
CVE-2026-15338 — Lokale Datei-Einbindung in LA-Studio Element Kit (hoch)
Im Erweiterungs-Plugin LA-Studio Element Kit for Elementor, das auf über 10.000 Websites im
Einsatz ist, besteht in allen Versionen bis einschließlich 1.6.1 eine lokale Datei-Einbindung
(Local File Inclusion). Die Routine zum Laden von Vorlagen setzt einen Einbindungs-Pfad aus einem
vom Nutzer übergebenen Vorlagen-„Typ” zusammen und führt ihn durch eine Funktion, die lediglich
Verzeichnistrenner vereinheitlicht, „../“-Sequenzen aber weder auflöst noch zurückweist. Die
beabsichtigte Endungs-Prüfung greift nicht, weil der aufrufende Code die Endung .php selbst
anhängt — ein Pfad-Manipulations-Wert ohne Endung besteht die Prüfung also. Ein angemeldeter
Nutzer mit bloßen Beitrags-Rechten (Contributor) kann das Plugin dadurch dazu bringen, eine
beliebige, bereits auf dem Server liegende .php-Datei einzubinden und auszuführen; kann er
zusätzlich eine eigene Datei ablegen, lässt sich dies bis zur Codeausführung aus der Ferne
ausweiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5, stuft die Lücke als
hoch ein und ordnet sie der Schwachstellenklasse CWE-98 (unzureichende Kontrolle des Dateinamens
bei einer Include-Anweisung) zu; die Angriffskomplexität ist als hoch bewertet. Behoben ist die
Schwachstelle mit Version 1.6.2, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-15338 · CVE-Record — CVE-2026-15338
CVE-2026-13114 — Unauthentifiziertes Cross-Site-Scripting in Motors (hoch)
Im weit verbreiteten Fahrzeug- und Anzeigen-Plugin Motors – Car Dealership & Classified Listings besteht in allen Versionen bis einschließlich 1.4.112 ein ohne Anmeldung ausnutzbares gespeichertes Cross-Site-Scripting. Zwei vom Nutzer kontrollierte Felder — der Kommentar-Inhalt und das Profil-Feld zur Person — werden weder bei der Eingabe bereinigt noch bei der Ausgabe maskiert, sodass sich beliebiger HTML- und JavaScript-Code dauerhaft hinterlegen lässt. Da für das Absenden keine Anmeldung erforderlich ist, kann ein Angreifer ohne Benutzerkonto einen Schadcode platzieren, der anschließend im Browser jedes Betrachters der betroffenen Seite — auch eines angemeldeten Administrators — ausgeführt wird. Weil der Wirkungsbereich verändert ist, kann der Code über den Plugin-Kontext hinaus wirken: vom Diebstahl einer Sitzung über Aktionen im Namen des Opfers bis zur Umleitung auf fremde Seiten. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.2, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-79 (Cross-Site-Scripting) zu. Behoben ist die Schwachstelle mit Version 1.4.113, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-13114 · Wordfence — Motors
CVE-2026-9017 — Unauthentifizierte E-Mail-Manipulation in NEX-Forms (mittel)
Im Formular-Plugin NEX-Forms – Ultimate Forms Plugin besteht in allen Versionen bis einschließlich
9.2.2 eine ohne Anmeldung ausnutzbare fehlende Autorisierungsprüfung. Die AJAX-Aktion
nf_send_nf_email ist ohne Rechte- oder Eigentümer-Prüfung registriert und daher auch für
unauthentifizierte Anfragen erreichbar. Ein Angreifer kann darüber die hinterlegten
E-Mail-Adressen eines beliebigen gespeicherten Formular-Eintrags — auch eines fremden —
überschreiben und anschließend den Versand mit diesen selbst gewählten Werten auslösen. Damit
lassen sich Benachrichtigungen an angreiferkontrollierte Adressen umleiten oder der Versand des
Plugins für den Versand fremdbestimmter Nachrichten missbrauchen. Die National Vulnerability
Database vergibt einen CVSS-Wert von 5.3, stuft die Lücke als mittel ein und ordnet sie der
Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit
Version 9.2.3, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-9017
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.