Sicherheits-Bulletin vom 14. Juli 2026: Kritischer RCE in Newsletters, Stored XSS in News Kit Addons und WP Customer Area
14. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 14. Juli brachte mit drei neuen Einträgen in der National Vulnerability Database eine unverhältnismäßig große Zahl an WordPress-bezogenen Schwachstellen auf einmal — darunter einen kritischen RCE und zwei Stored-XSS-Einträge, die beide auf eine ähnliche Schwachstellenkategorie (unzureichende Eingabevalidierung) zurückzuführen sind.
CVE-2026-12583 — PHP Object Injection in Newsletters mit Remote-Code-Ausführung (hoch)
Im Newsletter-Plugin Newsletters des Herstellers Tribulant Software besteht in allen
Versionen vor 4.15 eine unauthentifizierte Deserialisierung von unsauberen Benutzereingaben.
Das Plugin liest Daten aus öffentlichen Formularen ein und übergibt sie ohne ausreichende
Validierung an eine PHP-Serialisierungsroutine. Ein Angreifer kann darüber ein manipuliertes,
serialisiertes PHP-Objekt durch ein öffentliches Formular einreichen, das über eine in das
Plugin eingebundene Property-Oriented-Programming-Kette in beliebige Dateioperationen und
schließlich in die Ausführung beliebigen PHP-Codes auf dem Webserver umgelenkt wird. Der
Angriff erfordert weder eine Anmeldung noch eine Benutzerinteraktion — ein über das
Netzwerk erreichbarer Angreifer kann die Schwachstelle alleine aus der Ferne ausnutzen.
Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1 (Vektor
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Lücke als hoch ein und ordnet sie der
Schwachstellenklasse CWE-502 (Deserialisierung von unsauberen Daten) zu. Eine korrigierte
Version ist ab Version 4.15 verfügbar; Betreiber sollten das Plugin unverzüglich auf 4.15
oder höher aktualisieren. Solange kein Patch vorliegt, sollte die öffentliche
Formular-Funktionalität des Plugins deaktiviert oder über eine Zugriffsregel eingeschränkt
werden.
Quellen: National Vulnerability Database — CVE-2026-12583 · GitHub Advisory — GHSA-cxqr-jhpf-63mm
CVE-2026-11390 — Stored XSS in News Kit Addons for Elementor (mittel)
Im Elementor-Addon News Kit Addons for Elementor besteht in allen Versionen bis einschließlich
1.4.6 eine Stored-Cross-Site-Scripting-Schwachstelle in den Widgets „Site Logo Title” und
„Single Author Box”. Die unzureichende Bereinigung und Maskierung von Benutzereingaben in
diesen Widgets ermöglicht es einem angemeldeten Angreifer mit Contributor-Rechten oder höher,
mithilfe von manipulierten elementor_ajax-AJAX-Anfragen beliebigen JavaScript-Code in
WordPress-Seiten zu speichern, der bei jedem Betrachter der betroffenen Seite ausgeführt wird.
Ein Angreifer muss dazu die Client-seitigen SELECT-Steuerungsbeschränkungen umgehen, indem er
die AJAX-Anfrage abfängt und modifiziert, bevor er sie an den Server sendet. Die National
Vulnerability Database vergibt einen CVSS-Wert von 6.4 (Vektor
AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N), stuft die Schwachstelle als mittel ein und ordnet
sie der Schwachstellenklasse CWE-79 (Stored XSS) zu. Eine korrigierte Version wurde zum
Redaktionsschluss nicht benannt; Betreiber sollten das Plugin auf eine neuere Version
aktualisieren, sobald diese verfügbar ist, und Contributor-Zugriff auf vertrauenswürdige
Nutzer beschränken.
Quellen: National Vulnerability Database — CVE-2026-11390 · CVE-Record — CVE-2026-11390
CVE-2026-7640 — Stored XSS in WP Customer Area (mittel)
Im Kundenbereich-Plugin WP Customer Area besteht in allen Versionen bis einschließlich 8.3.5
ebenfalls eine Stored-Cross-Site-Scripting-Schwachstelle. Der type-Attribut-Parameter des
Shortcodes customer-area-protected-content wird nicht ausreichend bereinigt oder maskiert,
wodurch ein angemeldeter Angreifer mit Contributor-Rechten oder höher JavaScript-Code in
geschützte Kundenbereichsseiten einbetten kann. Im Gegensatz zu CVE-2026-11390 erfordert
diese Schwachstelle kein Abfangen und Modifizieren von AJAX-Anfragen — der bösartige Wert
kann direkt über das normale Shortcode-Attribut eingegeben werden. Die National Vulnerability
Database vergibt einen CVSS-Wert von 6.4 (Vektor
AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N), stuft die Schwachstelle als mittel ein und ordnet
sie der Schwachstellenklasse CWE-79 (Stored XSS) zu. Eine korrigierte Version ist ab Version
8.3.6 verfügbar; Betreiber sollten das Plugin unverzüglich aktualisieren und Contributor-Zugriff
auf vertrauenswürdige Nutzer beschränken.
Quellen: National Vulnerability Database — CVE-2026-7640 · CVE-Record — CVE-2026-7640
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.