Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 14. Juli 2026: Kritischer RCE in Newsletters, Stored XSS in News Kit Addons und WP Customer Area

14. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 14. Juli brachte mit drei neuen Einträgen in der National Vulnerability Database eine unverhältnismäßig große Zahl an WordPress-bezogenen Schwachstellen auf einmal — darunter einen kritischen RCE und zwei Stored-XSS-Einträge, die beide auf eine ähnliche Schwachstellenkategorie (unzureichende Eingabevalidierung) zurückzuführen sind.

CVE-2026-12583 — PHP Object Injection in Newsletters mit Remote-Code-Ausführung (hoch)

Im Newsletter-Plugin Newsletters des Herstellers Tribulant Software besteht in allen Versionen vor 4.15 eine unauthentifizierte Deserialisierung von unsauberen Benutzereingaben. Das Plugin liest Daten aus öffentlichen Formularen ein und übergibt sie ohne ausreichende Validierung an eine PHP-Serialisierungsroutine. Ein Angreifer kann darüber ein manipuliertes, serialisiertes PHP-Objekt durch ein öffentliches Formular einreichen, das über eine in das Plugin eingebundene Property-Oriented-Programming-Kette in beliebige Dateioperationen und schließlich in die Ausführung beliebigen PHP-Codes auf dem Webserver umgelenkt wird. Der Angriff erfordert weder eine Anmeldung noch eine Benutzerinteraktion — ein über das Netzwerk erreichbarer Angreifer kann die Schwachstelle alleine aus der Ferne ausnutzen. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.1 (Vektor AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-502 (Deserialisierung von unsauberen Daten) zu. Eine korrigierte Version ist ab Version 4.15 verfügbar; Betreiber sollten das Plugin unverzüglich auf 4.15 oder höher aktualisieren. Solange kein Patch vorliegt, sollte die öffentliche Formular-Funktionalität des Plugins deaktiviert oder über eine Zugriffsregel eingeschränkt werden.

Quellen: National Vulnerability Database — CVE-2026-12583 · GitHub Advisory — GHSA-cxqr-jhpf-63mm

CVE-2026-11390 — Stored XSS in News Kit Addons for Elementor (mittel)

Im Elementor-Addon News Kit Addons for Elementor besteht in allen Versionen bis einschließlich 1.4.6 eine Stored-Cross-Site-Scripting-Schwachstelle in den Widgets „Site Logo Title” und „Single Author Box”. Die unzureichende Bereinigung und Maskierung von Benutzereingaben in diesen Widgets ermöglicht es einem angemeldeten Angreifer mit Contributor-Rechten oder höher, mithilfe von manipulierten elementor_ajax-AJAX-Anfragen beliebigen JavaScript-Code in WordPress-Seiten zu speichern, der bei jedem Betrachter der betroffenen Seite ausgeführt wird. Ein Angreifer muss dazu die Client-seitigen SELECT-Steuerungsbeschränkungen umgehen, indem er die AJAX-Anfrage abfängt und modifiziert, bevor er sie an den Server sendet. Die National Vulnerability Database vergibt einen CVSS-Wert von 6.4 (Vektor AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N), stuft die Schwachstelle als mittel ein und ordnet sie der Schwachstellenklasse CWE-79 (Stored XSS) zu. Eine korrigierte Version wurde zum Redaktionsschluss nicht benannt; Betreiber sollten das Plugin auf eine neuere Version aktualisieren, sobald diese verfügbar ist, und Contributor-Zugriff auf vertrauenswürdige Nutzer beschränken.

Quellen: National Vulnerability Database — CVE-2026-11390 · CVE-Record — CVE-2026-11390

CVE-2026-7640 — Stored XSS in WP Customer Area (mittel)

Im Kundenbereich-Plugin WP Customer Area besteht in allen Versionen bis einschließlich 8.3.5 ebenfalls eine Stored-Cross-Site-Scripting-Schwachstelle. Der type-Attribut-Parameter des Shortcodes customer-area-protected-content wird nicht ausreichend bereinigt oder maskiert, wodurch ein angemeldeter Angreifer mit Contributor-Rechten oder höher JavaScript-Code in geschützte Kundenbereichsseiten einbetten kann. Im Gegensatz zu CVE-2026-11390 erfordert diese Schwachstelle kein Abfangen und Modifizieren von AJAX-Anfragen — der bösartige Wert kann direkt über das normale Shortcode-Attribut eingegeben werden. Die National Vulnerability Database vergibt einen CVSS-Wert von 6.4 (Vektor AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N), stuft die Schwachstelle als mittel ein und ordnet sie der Schwachstellenklasse CWE-79 (Stored XSS) zu. Eine korrigierte Version ist ab Version 8.3.6 verfügbar; Betreiber sollten das Plugin unverzüglich aktualisieren und Contributor-Zugriff auf vertrauenswürdige Nutzer beschränken.

Quellen: National Vulnerability Database — CVE-2026-7640 · CVE-Record — CVE-2026-7640

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.