Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 16. Juli 2026: Kritische Signature-Algorithmus-Verwechslung im SAML-SSO-Plugin und drei weitere WordPress-Schwachstellen

16. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 16. Juli brachte mit vier neuen Einträgen in der National Vulnerability Database eine bemerkenswert dichte Serie an WordPress-bezogenen Schwachstellen auf einmal — darunter eine kritische Schwachstelle in einem SAML-SSO-Plugin, die ohne Authentifizierung ausnutzbar ist, sowie drei weitere Einträge, die auf Privilegien-Eskalation und CSRF zurückzuführen sind. Kein neues Shopware-Advisory und keine neue PHP-Kern-Schwachstelle an diesem Tag.

CVE-2026-15013 — Signature-Algorithmus-Verwechslung im SAML Single Sign On Plugin für WordPress (kritisch)

Das WordPress-Plugin SAML Single Sign On – SSO Login von cyberlord92 weist in allen Versionen eine Schwachstelle durch Algorithmen-Verwechslung (Algorithm Confusion) im SAML-Authentifizierungsfluss auf. Wenn ein Angreifer eine SAML-Antwort mit einem manipulierten Signature-Algorithmus an den IDP-Validierungscode übergibt, kann das Plugin so getäuscht werden, dass es die digitale Signatur der Identity Provider nicht korrekt überprüft. In der Praxis bedeutet das: Ein Angreifer kann eine beliebig formatierte SAML-Assertion generieren, ohne dabei über den geheimen Signierschlüssel des Identity Providers zu verfügen, und diese an den WordPress-Server senden. Der Server akzeptiert die Assertion als legitim, weil der Algorithmus nicht ausreichend validiert wird, und gewährt dem Angreifer daraufhin Administrator-Zugriff auf die WordPress-Instanz. Die Schwachstelle ist über das Netzwerk ohne jegliche Anmeldung oder Benutzerinteraktion ausnutzbar — ein über das Internet erreichbarer Angreifer kann also allein durch das Senden einer manipulierten SAML-Antwort die volle Administrationskontrolle übernehmen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-347 (Improper Verification of Cryptographic Signature) zu. Betreiber sollten das Plugin unverzüglich deaktivieren oder den betroffenen SAML-Authentifizierungs-Endpunkt über eine Zugriffsregel abschotten, bis ein Patch verfügbar ist. Zudem empfiehlt sich eine Prüfung, ob der Identity Provider konfiguriert ist, nur den Algorithmus HS256 (symmetrisch) zu verwenden — ein Switch zu einem asymmetrischen Algorithmus wie RS256 reduziert die Angriffsfläche, solange die Plugin-Seite den Algorithmus korrekt validiert.

Quellen: National Vulnerability Database — CVE-2026-15013 · CVE-Record — CVE-2026-15013

CVE-2026-15103 — Privilegien-Eskalation in WPFunnels – Funnel Builder für WooCommerce (hoch)

Das Funnel-Builder-Plugin WPFunnels – Funnel Builder for WooCommerce von getwpfunnels weist in allen Versionen eine unzureichende Rechteprüfung auf einem optionale Änderungs-Endpunkt auf. Ein authentifizierter Benutzer mit Editor-Rolle kann über diesen Endpunkt willkürliche Optionen der WordPress-Konfiguration verändern, darunter sensible Einstellungen, die normalerweise Administrator-Rechten vorbehalten sind. Die fehlende Capability-Prüfung ermöglicht es Angreifern, die sich mit Editor- oder Autor-Rechten Zugang verschafft haben, durch manipulierte HTTP-Anfragen die Anwendungskonfiguration zu modifizieren und dadurch die Kontrolle über die Website zu erlangen. Die National Vulnerability Database vergibt einen CVSS-Wert von 8,8 (Vektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), stuft die Schwachstelle als hoch ein und ordnet sie der Schwachstellenklasse CWE-269 (Improper Privilege Management) zu. Ein Patch ist zum Redaktionsschluss nicht benannt; Betreiber sollten die Rolle Editor auf vertrauenswürdige Nutzer beschränken und den Zugang zum Funnel-Builder einschränken.

Quellen: National Vulnerability Database — CVE-2026-15103 · CVE-Record — CVE-2026-15103

CVE-2026-13741 — Privilegien-Eskalation in Digits: WordPress Mobile Number Signup and Login (hoch)

Das Plugin Digits: WordPress Mobile Number Signup and Login von UnitedOver enthält eine unzureichende Rechteverwaltung in der Benutzerverwaltungs-API. Ein authentifizierter Nutzer mit einer niedrigeren Rolle kann über einen spezifischen API-Endpunkt seine eigenen Berechtigungen auf eine höhere Rolle eskalieren, etwa von Subscriber zu Editor. Der Endpunkt überprüft nicht, ob der anfragende Benutzer über die erforderliche Capability verfügt, um Rollenänderungen vorzunehmen. Die National Vulnerability Database vergeht einen CVSS-Wert von 8,8 (Vektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), stuft die Schwachstelle als hoch ein und ordnet sie der Schwachstellenklasse CWE-269 zu. Ein Patch ist zum Redaktionsschluss nicht benannt.

Quellen: National Vulnerability Database — CVE-2026-13741 · CVE-Record — CVE-2026-13741

CVE-2026-15005 — CSRF in Loco Translate für WordPress (hoch)

Das Übersetzungs-Plugin Loco Translate von timwhitlock ist in allen Versionen eine Cross-Site-Request-Forgery-Schwachstelle. Ein Angreifer kann einen bösartigen Link oder ein bösartiges Formular auf einer fremden Seite platzieren, das von einem authentifizierten Administrator beim Besuch dieser Seite ausgeführt wird. Dadurch kann der Angreifer unbeabsichtigte Aktionen im Namen des Administrators im WordPress-Admin ausführen, etwa das Löschen oder Ändern von Sprachdateien. Die National Vulnerability Database vergibt einen CVSS-Wert von 8,8 (Vektor AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H), stuft die Schwachstelle als hoch ein. Ein Patch ist zum Redaktionsschluss nicht benannt.

Quellen: National Vulnerability Database — CVE-2026-15005 · CVE-Record — CVE-2026-15005

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.