Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 17. Juli 2026: Zwei kritische Übernahme-Lücken ohne Anmeldung in Bricksforge und AI Copilot — plus Rechteausweitung und Zahlungsbetrug im Shop

17. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 17. Juli fiel mit einer ungewöhnlich dichten Reihe neuer Einträge in der National Vulnerability Database auf — wir haben daraus die vier ausgewählt, die für unsere Zielgruppe am schwersten wiegen. An der Spitze stehen zwei kritische Lücken, die sich jeweils ohne jede Anmeldung zur vollständigen Übernahme einer Website ausnutzen lassen: eine im Builder-Zusatz Bricksforge, eine im KI-Assistenten AI Copilot. Dazu kommen eine Privilegien-Eskalation in einem weit verbreiteten Registrierungs- und Mitgliedschafts-Plugin sowie ein gefälschter Zahlungs-Callback im PhonePe-Gateway für WooCommerce. Für alle vier Fälle steht bereits eine korrigierte Version bereit — die dringendste Maßnahme des Tages ist also schlicht das Einspielen der Updates. Ein neues Shopware-Advisory oder eine neue Schwachstelle im PHP-Kern gab es an diesem Tag nicht.

CVE-2026-14956 — Unauthentifizierte Admin-Übernahme in Bricksforge (kritisch)

Das Plugin Bricksforge, eine populäre Erweiterung für den Bricks-Theme-Builder, weist in allen Versionen bis einschließlich 3.1.8.6 eine schwerwiegende Schwachstelle in seinem Formular-Modul Pro Forms auf. Die Aktion zur Benutzerregistrierung überprüft den vom Formular übermittelten Parameter fieldIds nicht ausreichend. Weil vom Angreifer gelieferte Feld-Bezeichner ungeprüft in die als vertrauenswürdig behandelte Liste zulässiger Formularfelder übernommen werden, lassen sich der Registrierungs-Anfrage zusätzliche Felder unterschieben — darunter das Feld für die WordPress-Benutzerrolle. In der Praxis bedeutet das: Ein Angreifer ohne jegliches Benutzerkonto sendet eine präparierte Registrierungs-Anfrage an ein öffentlich erreichbares Pro-Forms-Formular, das für die Benutzerregistrierung konfiguriert ist, und legt dabei ein neues Konto direkt mit Administrator-Rechten an. Damit erlangt er die vollständige Kontrolle über die WordPress-Instanz. Voraussetzung für die Ausnutzung ist allein, dass auf der Website ein solches öffentlich zugängliches Registrierungs-Formular mit der User-Registration-Aktion existiert. Die National Vulnerability Database vergibt einen CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-269 (Improper Privilege Management) zu. Der Hersteller hat das Problem in Version 3.1.8.7 behoben; Betreiber sollten unverzüglich auf diese oder eine neuere Version aktualisieren. Bis das Update eingespielt ist, empfiehlt es sich, betroffene öffentliche Registrierungs-Formulare zu deaktivieren.

Quellen: National Vulnerability Database — CVE-2026-14956 · CVE Threat Intelligence — CVE-2026-14956

CVE-2026-9810 — Authentifizierungs-Umgehung im Plugin AI Copilot (kritisch)

Das WordPress-Plugin AI Copilot enthält in allen Versionen vor 1.5.4 eine schwerwiegende Schwäche in seiner OAuth-Anbindung. Das Plugin gibt über einen öffentlich erreichbaren OAuth-Ablauf Zugriffstoken aus, bindet das ausgestellte Token anschließend jedoch nicht an eine bestimmte WordPress-Benutzeridentität. Der Code, der eingehende Token prüft, akzeptiert jedes strukturell gültige Token als vollwertige Administrator-Sitzung, statt es dem tatsächlich authentifizierten Konto zuzuordnen. Damit findet vor dem Aufruf der administrativen Werkzeuge des Model Context Protocol (MCP), die das Plugin bereitstellt, keinerlei benutzerbezogene Berechtigungsprüfung statt. Ein Angreifer, der lediglich den öffentlichen OAuth-Ablauf durchläuft, erhält so ein Token, das das Plugin als Administrator-Sitzung behandelt, und kann darüber die bereitgestellten MCP-Werkzeuge mit Administrator-Rechten ansteuern — einschließlich des Anlegens beliebiger Benutzer und der Ausweitung von Rollen. Im Ergebnis lässt sich die Website vollständig übernehmen; Vertraulichkeit, Integrität und Verfügbarkeit sind gleichermaßen betroffen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Schwachstelle als kritisch ein und ordnet sie der Klasse CWE-269 zu. Der Hersteller hat die Lücke in Version 1.5.4 geschlossen; ein Update auf diese oder eine spätere Version ist dringend geboten.

Quellen: National Vulnerability Database — CVE-2026-9810 · INCIBE-CERT — CVE-2026-9810

CVE-2026-11961 — Privilegien-Eskalation in User Registration & Membership (hoch)

Das Plugin User Registration & Membership von WPEverest — nach Angaben der Hersteller-Seite auf einer sechsstelligen Zahl von Installationen im Einsatz — verarbeitet die vom Besucher gewählte Mitgliedschafts-Stufe bei der Registrierung, ohne serverseitig zu prüfen, ob diese Stufe vom Formular überhaupt angeboten wird. Da die gewählte Stufe unmittelbar auf eine WordPress-Rolle abgebildet und dabei aus der Client-Eingabe übernommen wird, kann ein Angreifer sich unter Angabe einer beliebigen veröffentlichten Stufe registrieren — auch einer Stufe, die an eine hoch privilegierte Rolle wie Administrator gebunden ist, sofern eine solche Stufe auf der Website existiert. Die eigentliche Ursache ist eine fehlende Positivlisten-Prüfung des Stufen- beziehungsweise Rollen-Parameters im unauthentifizierten Registrierungs-Ablauf (CWE-269, Improper Privilege Management). Existiert auf der Website eine an eine privilegierte Rolle gekoppelte, veröffentlichte Stufe, erhält der Angreifer diese Rolle direkt und damit die vollständige Kontrolle — von der Installation von Plugins und Themes über die Ausführung von Code bis zum Zugriff auf sämtliche Daten. Die National Vulnerability Database vergibt einen CVSS-Wert von 8,1 (Vektor AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) und stuft die Schwachstelle als hoch ein; die erhöhte Angriffskomplexität (AC:H) spiegelt die Voraussetzung wider, dass eine entsprechend privilegierte Stufe veröffentlicht sein muss. Der Hersteller hat das Problem in Version 5.2.3 behoben; ein Update ist umgehend einzuspielen.

Quellen: National Vulnerability Database — CVE-2026-11961

CVE-2026-11575 — Gefälschter Zahlungs-Callback im PhonePe-Gateway für WooCommerce (hoch)

Das Zahlungs-Plugin PhonePe Payment Solutions für WooCommerce prüft eingehende Zahlungs-Benachrichtigungen, indem es eine Signatur über den Anfrage-Inhalt bildet und dafür ein geteiltes Geheimnis verwendet. Auf Websites, die über den aktuellen Einrichtungs-Ablauf des Plugins konfiguriert wurden, bleibt dieses Signier-Geheimnis jedoch leer gespeichert. Dadurch reduziert sich die vermeintlich erwartete Signatur auf einen ungeschlüsselten Hash des Anfrage-Inhalts — einen Wert, den jede außenstehende Partei ohne Kenntnis irgendeines Geheimnisses selbst berechnen kann. Der Callback-Endpunkt nimmt gefälschte Benachrichtigungen folglich an, weil im Ergebnis keine geschlüsselte Prüfung der Echtheit mehr stattfindet. Ein unauthentifizierter Angreifer kann daher einen erfundenen „Zahlung erfolgreich”-Callback erzeugen und an den Shop senden, den das Plugin als echt akzeptiert — woraufhin WooCommerce eine unbezahlte Bestellung als bezahlt und abgeschlossen markiert. Das ermöglicht die Auslieferung von Waren oder Leistungen ohne tatsächliche Zahlung, also unmittelbaren finanziellen Betrug zulasten des Shop-Betreibers. Die National Vulnerability Database vergibt einen CVSS-Wert von 7,5 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N), stuft die Schwachstelle als hoch ein und ordnet sie der Klasse CWE-862 (Missing Authorization) zu. Der Hersteller hat die Prüfung in Version 3.1.0 korrigiert; Shop-Betreiber sollten zeitnah aktualisieren und nach dem Update kontrollieren, dass das Signier-Geheimnis der Integration korrekt hinterlegt ist.

Quellen: National Vulnerability Database — CVE-2026-11575 · INCIBE-CERT — CVE-2026-11575

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.