Sicherheits-Bulletin vom 17. Juli 2026: Zwei kritische Übernahme-Lücken ohne Anmeldung in Bricksforge und AI Copilot — plus Rechteausweitung und Zahlungsbetrug im Shop
17. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 17. Juli fiel mit einer ungewöhnlich dichten Reihe neuer Einträge in der National Vulnerability Database auf — wir haben daraus die vier ausgewählt, die für unsere Zielgruppe am schwersten wiegen. An der Spitze stehen zwei kritische Lücken, die sich jeweils ohne jede Anmeldung zur vollständigen Übernahme einer Website ausnutzen lassen: eine im Builder-Zusatz Bricksforge, eine im KI-Assistenten AI Copilot. Dazu kommen eine Privilegien-Eskalation in einem weit verbreiteten Registrierungs- und Mitgliedschafts-Plugin sowie ein gefälschter Zahlungs-Callback im PhonePe-Gateway für WooCommerce. Für alle vier Fälle steht bereits eine korrigierte Version bereit — die dringendste Maßnahme des Tages ist also schlicht das Einspielen der Updates. Ein neues Shopware-Advisory oder eine neue Schwachstelle im PHP-Kern gab es an diesem Tag nicht.
CVE-2026-14956 — Unauthentifizierte Admin-Übernahme in Bricksforge (kritisch)
Das Plugin Bricksforge, eine populäre Erweiterung für den Bricks-Theme-Builder, weist in
allen Versionen bis einschließlich 3.1.8.6 eine schwerwiegende Schwachstelle in seinem
Formular-Modul Pro Forms auf. Die Aktion zur Benutzerregistrierung überprüft den vom
Formular übermittelten Parameter fieldIds nicht ausreichend. Weil vom Angreifer
gelieferte Feld-Bezeichner ungeprüft in die als vertrauenswürdig behandelte Liste
zulässiger Formularfelder übernommen werden, lassen sich der Registrierungs-Anfrage
zusätzliche Felder unterschieben — darunter das Feld für die WordPress-Benutzerrolle. In
der Praxis bedeutet das: Ein Angreifer ohne jegliches Benutzerkonto sendet eine präparierte
Registrierungs-Anfrage an ein öffentlich erreichbares Pro-Forms-Formular, das für die
Benutzerregistrierung konfiguriert ist, und legt dabei ein neues Konto direkt mit
Administrator-Rechten an. Damit erlangt er die vollständige Kontrolle über die
WordPress-Instanz. Voraussetzung für die Ausnutzung ist allein, dass auf der Website ein
solches öffentlich zugängliches Registrierungs-Formular mit der User-Registration-Aktion
existiert. Die National Vulnerability Database vergibt einen CVSS-Wert von 9,8
(Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Lücke als kritisch ein und ordnet
sie der Schwachstellenklasse CWE-269 (Improper Privilege Management) zu. Der Hersteller hat
das Problem in Version 3.1.8.7 behoben; Betreiber sollten unverzüglich auf diese oder eine
neuere Version aktualisieren. Bis das Update eingespielt ist, empfiehlt es sich, betroffene
öffentliche Registrierungs-Formulare zu deaktivieren.
Quellen: National Vulnerability Database — CVE-2026-14956 · CVE Threat Intelligence — CVE-2026-14956
CVE-2026-9810 — Authentifizierungs-Umgehung im Plugin AI Copilot (kritisch)
Das WordPress-Plugin AI Copilot enthält in allen Versionen vor 1.5.4 eine schwerwiegende
Schwäche in seiner OAuth-Anbindung. Das Plugin gibt über einen öffentlich erreichbaren
OAuth-Ablauf Zugriffstoken aus, bindet das ausgestellte Token anschließend jedoch nicht an
eine bestimmte WordPress-Benutzeridentität. Der Code, der eingehende Token prüft, akzeptiert
jedes strukturell gültige Token als vollwertige Administrator-Sitzung, statt es dem
tatsächlich authentifizierten Konto zuzuordnen. Damit findet vor dem Aufruf der
administrativen Werkzeuge des Model Context Protocol (MCP), die das Plugin bereitstellt,
keinerlei benutzerbezogene Berechtigungsprüfung statt. Ein Angreifer, der lediglich den
öffentlichen OAuth-Ablauf durchläuft, erhält so ein Token, das das Plugin als
Administrator-Sitzung behandelt, und kann darüber die bereitgestellten MCP-Werkzeuge mit
Administrator-Rechten ansteuern — einschließlich des Anlegens beliebiger Benutzer und der
Ausweitung von Rollen. Im Ergebnis lässt sich die Website vollständig übernehmen;
Vertraulichkeit, Integrität und Verfügbarkeit sind gleichermaßen betroffen. Die National
Vulnerability Database vergibt einen CVSS-Wert von 9,8
(Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), stuft die Schwachstelle als kritisch ein und
ordnet sie der Klasse CWE-269 zu. Der Hersteller hat die Lücke in Version 1.5.4 geschlossen;
ein Update auf diese oder eine spätere Version ist dringend geboten.
Quellen: National Vulnerability Database — CVE-2026-9810 · INCIBE-CERT — CVE-2026-9810
CVE-2026-11961 — Privilegien-Eskalation in User Registration & Membership (hoch)
Das Plugin User Registration & Membership von WPEverest — nach Angaben der Hersteller-Seite
auf einer sechsstelligen Zahl von Installationen im Einsatz — verarbeitet die vom Besucher
gewählte Mitgliedschafts-Stufe bei der Registrierung, ohne serverseitig zu prüfen, ob diese
Stufe vom Formular überhaupt angeboten wird. Da die gewählte Stufe unmittelbar auf eine
WordPress-Rolle abgebildet und dabei aus der Client-Eingabe übernommen wird, kann ein
Angreifer sich unter Angabe einer beliebigen veröffentlichten Stufe registrieren — auch
einer Stufe, die an eine hoch privilegierte Rolle wie Administrator gebunden ist, sofern
eine solche Stufe auf der Website existiert. Die eigentliche Ursache ist eine fehlende
Positivlisten-Prüfung des Stufen- beziehungsweise Rollen-Parameters im unauthentifizierten
Registrierungs-Ablauf (CWE-269, Improper Privilege Management). Existiert auf der Website
eine an eine privilegierte Rolle gekoppelte, veröffentlichte Stufe, erhält der Angreifer
diese Rolle direkt und damit die vollständige Kontrolle — von der Installation von Plugins
und Themes über die Ausführung von Code bis zum Zugriff auf sämtliche Daten. Die National
Vulnerability Database vergibt einen CVSS-Wert von 8,1
(Vektor AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) und stuft die Schwachstelle als hoch ein; die
erhöhte Angriffskomplexität (AC:H) spiegelt die Voraussetzung wider, dass eine
entsprechend privilegierte Stufe veröffentlicht sein muss. Der Hersteller hat das Problem in
Version 5.2.3 behoben; ein Update ist umgehend einzuspielen.
Quellen: National Vulnerability Database — CVE-2026-11961
CVE-2026-11575 — Gefälschter Zahlungs-Callback im PhonePe-Gateway für WooCommerce (hoch)
Das Zahlungs-Plugin PhonePe Payment Solutions für WooCommerce prüft eingehende
Zahlungs-Benachrichtigungen, indem es eine Signatur über den Anfrage-Inhalt bildet und
dafür ein geteiltes Geheimnis verwendet. Auf Websites, die über den aktuellen
Einrichtungs-Ablauf des Plugins konfiguriert wurden, bleibt dieses Signier-Geheimnis
jedoch leer gespeichert. Dadurch reduziert sich die vermeintlich erwartete Signatur auf
einen ungeschlüsselten Hash des Anfrage-Inhalts — einen Wert, den jede außenstehende Partei
ohne Kenntnis irgendeines Geheimnisses selbst berechnen kann. Der Callback-Endpunkt nimmt
gefälschte Benachrichtigungen folglich an, weil im Ergebnis keine geschlüsselte Prüfung der
Echtheit mehr stattfindet. Ein unauthentifizierter Angreifer kann daher einen erfundenen
„Zahlung erfolgreich”-Callback erzeugen und an den Shop senden, den das Plugin als echt
akzeptiert — woraufhin WooCommerce eine unbezahlte Bestellung als bezahlt und abgeschlossen
markiert. Das ermöglicht die Auslieferung von Waren oder Leistungen ohne tatsächliche
Zahlung, also unmittelbaren finanziellen Betrug zulasten des Shop-Betreibers. Die National
Vulnerability Database vergibt einen CVSS-Wert von 7,5
(Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N), stuft die Schwachstelle als hoch ein und
ordnet sie der Klasse CWE-862 (Missing Authorization) zu. Der Hersteller hat die Prüfung in
Version 3.1.0 korrigiert; Shop-Betreiber sollten zeitnah aktualisieren und nach dem Update
kontrollieren, dass das Signier-Geheimnis der Integration korrekt hinterlegt ist.
Quellen: National Vulnerability Database — CVE-2026-11575 · INCIBE-CERT — CVE-2026-11575
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.