Sicherheits-Bulletin vom 16. Juli 2026: Kritische Signature-Algorithmus-Verwechslung im SAML-SSO-Plugin und drei weitere WordPress-Schwachstellen
16. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 16. Juli brachte mit vier neuen Einträgen in der National Vulnerability Database eine bemerkenswert dichte Serie an WordPress-bezogenen Schwachstellen auf einmal — darunter eine kritische Schwachstelle in einem SAML-SSO-Plugin, die ohne Authentifizierung ausnutzbar ist, sowie drei weitere Einträge, die auf Privilegien-Eskalation und CSRF zurückzuführen sind. Kein neues Shopware-Advisory und keine neue PHP-Kern-Schwachstelle an diesem Tag.
CVE-2026-15013 — Signature-Algorithmus-Verwechslung im SAML Single Sign On Plugin für WordPress (kritisch)
Das WordPress-Plugin SAML Single Sign On – SSO Login von cyberlord92 weist in allen
Versionen eine Schwachstelle durch Algorithmen-Verwechslung (Algorithm Confusion) im
SAML-Authentifizierungsfluss auf. Wenn ein Angreifer eine SAML-Antwort mit einem manipulierten
Signature-Algorithmus an den IDP-Validierungscode übergibt, kann das Plugin so getäuscht
werden, dass es die digitale Signatur der Identity Provider nicht korrekt überprüft. In der
Praxis bedeutet das: Ein Angreifer kann eine beliebig formatierte SAML-Assertion generieren,
ohne dabei über den geheimen Signierschlüssel des Identity Providers zu verfügen, und diese
an den WordPress-Server senden. Der Server akzeptiert die Assertion als legitim, weil der
Algorithmus nicht ausreichend validiert wird, und gewährt dem Angreifer daraufhin
Administrator-Zugriff auf die WordPress-Instanz. Die Schwachstelle ist über das Netzwerk
ohne jegliche Anmeldung oder Benutzerinteraktion ausnutzbar — ein über das Internet
erreichbarer Angreifer kann also allein durch das Senden einer manipulierten SAML-Antwort
die volle Administrationskontrolle übernehmen. Die National Vulnerability Database vergibt
einen CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), stuft die
Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-347 (Improper
Verification of Cryptographic Signature) zu. Betreiber sollten das Plugin unverzüglich
deaktivieren oder den betroffenen SAML-Authentifizierungs-Endpunkt über eine Zugriffsregel
abschotten, bis ein Patch verfügbar ist. Zudem empfiehlt sich eine Prüfung, ob der
Identity Provider konfiguriert ist, nur den Algorithmus HS256 (symmetrisch) zu verwenden —
ein Switch zu einem asymmetrischen Algorithmus wie RS256 reduziert die Angriffsfläche,
solange die Plugin-Seite den Algorithmus korrekt validiert.
Quellen: National Vulnerability Database — CVE-2026-15013 · CVE-Record — CVE-2026-15013
CVE-2026-15103 — Privilegien-Eskalation in WPFunnels – Funnel Builder für WooCommerce (hoch)
Das Funnel-Builder-Plugin WPFunnels – Funnel Builder for WooCommerce von getwpfunnels
weist in allen Versionen eine unzureichende Rechteprüfung auf einem optionale
Änderungs-Endpunkt auf. Ein authentifizierter Benutzer mit Editor-Rolle kann über diesen
Endpunkt willkürliche Optionen der WordPress-Konfiguration verändern, darunter
sensible Einstellungen, die normalerweise Administrator-Rechten vorbehalten sind. Die
fehlende Capability-Prüfung ermöglicht es Angreifern, die sich mit Editor- oder
Autor-Rechten Zugang verschafft haben, durch manipulierte HTTP-Anfragen die
Anwendungskonfiguration zu modifizieren und dadurch die Kontrolle über die Website zu
erlangen. Die National Vulnerability Database vergibt einen CVSS-Wert von 8,8
(Vektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), stuft die Schwachstelle als hoch ein
und ordnet sie der Schwachstellenklasse CWE-269 (Improper Privilege Management) zu.
Ein Patch ist zum Redaktionsschluss nicht benannt; Betreiber sollten die Rolle
Editor auf vertrauenswürdige Nutzer beschränken und den Zugang zum Funnel-Builder
einschränken.
Quellen: National Vulnerability Database — CVE-2026-15103 · CVE-Record — CVE-2026-15103
CVE-2026-13741 — Privilegien-Eskalation in Digits: WordPress Mobile Number Signup and Login (hoch)
Das Plugin Digits: WordPress Mobile Number Signup and Login von UnitedOver enthält eine
unzureichende Rechteverwaltung in der Benutzerverwaltungs-API. Ein authentifizierter
Nutzer mit einer niedrigeren Rolle kann über einen spezifischen API-Endpunkt seine
eigenen Berechtigungen auf eine höhere Rolle eskalieren, etwa von Subscriber zu
Editor. Der Endpunkt überprüft nicht, ob der anfragende Benutzer über die erforderliche
Capability verfügt, um Rollenänderungen vorzunehmen. Die National Vulnerability Database
vergeht einen CVSS-Wert von 8,8 (Vektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), stuft
die Schwachstelle als hoch ein und ordnet sie der Schwachstellenklasse CWE-269 zu.
Ein Patch ist zum Redaktionsschluss nicht benannt.
Quellen: National Vulnerability Database — CVE-2026-13741 · CVE-Record — CVE-2026-13741
CVE-2026-15005 — CSRF in Loco Translate für WordPress (hoch)
Das Übersetzungs-Plugin Loco Translate von timwhitlock ist in allen Versionen eine
Cross-Site-Request-Forgery-Schwachstelle. Ein Angreifer kann einen bösartigen Link oder
ein bösartiges Formular auf einer fremden Seite platzieren, das von einem
authentifizierten Administrator beim Besuch dieser Seite ausgeführt wird. Dadurch kann
der Angreifer unbeabsichtigte Aktionen im Namen des Administrators im WordPress-Admin
ausführen, etwa das Löschen oder Ändern von Sprachdateien. Die National Vulnerability
Database vergibt einen CVSS-Wert von 8,8 (Vektor AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H),
stuft die Schwachstelle als hoch ein. Ein Patch ist zum Redaktionsschluss nicht benannt.
Quellen: National Vulnerability Database — CVE-2026-15005 · CVE-Record — CVE-2026-15005
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.