Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Am 7. Juli 2026 wurde eine kritische Schwachstelle im WordPress-Plugin WPFunnels veröffentlicht, die mit einem CVSS-Score von 9.8 bewertet ist. Die Lücke, dokumentiert als CVE-2026-14345 (laut Wordfence CNA), ermöglicht Angreifern die Ausführung von beliebigem Code auf dem Server (Remote Code Execution, RCE). Alle Plugin-Versionen bis einschließlich 3.12.7 sind betroffen. Ein Sicherheitsupdate auf Version 3.12.8 steht zur Verfügung und sollte umgehend installiert werden.
Betroffene Software: WPFunnels – Funnel Builder for WooCommerce
Betroffene Versionen: Alle Versionen bis einschließlich 3.12.7
Art der Lücke: Remote Code Execution (RCE)
Behobene Version: 3.12.8 (veröffentlicht am 6. Juli 2026)
Technische Analyse der Schwachstelle
Die Schwachstelle CVE-2026-14345 resultiert aus einer unzureichenden Validierung von Eingabedaten in der Logging-Funktion des Plugins. Der Angriff verläuft in zwei Phasen:
Code-Injektion (unauthentifiziert): Ein Angreifer kann speziell präparierten PHP-Code über den postData-Parameter an das System senden. Das Plugin schreibt diese Eingabe ungefiltert in eine Log-Datei mit der Endung .log. Obwohl für diese Aktion ein Nonce-Token benötigt wird, wird dieses auf jeder öffentlichen Seite eines Verkaufstrichters (Funnel) ausgegeben. Dadurch kann dieser Schritt ohne vorherige Authentifizierung durchgeführt werden.
Code-Ausführung (administratorgesteuert): Die eigentliche Ausführung des schädlichen Codes wird ausgelöst, wenn ein Administrator die Log-Dateien über die Benutzeroberfläche des Plugins aufruft. Dabei wird die manipulierte Log-Datei über die PHP-Funktion include_once geladen und der darin enthaltene PHP-Code im Kontext des Webservers ausgeführt.
Obwohl für den finalen Schritt eine Administrator-Interaktion notwendig ist, ermöglicht die unauthentifizierte Injektion Angreifern, den Schadcode vorzubereiten und auf eine günstige Gelegenheit zur Ausführung zu warten.
Risikobewertung und geschäftliche Auswirkungen
Eine erfolgreiche Ausnutzung dieser RCE-Schwachstelle kann zur vollständigen Kompromittierung der Website führen. Da WPFunnels häufig in E-Commerce-Umgebungen mit WooCommerce eingesetzt wird, sind die potenziellen Folgen gravierend:
Datendiebstahl: Abfluss sensibler Kunden- und Zahlungsdaten.
Systemübernahme: Angreifer können den Server kontrollieren, um weitere Angriffe zu starten oder Malware zu verbreiten.
Integritätsverlust: Manipulation von Webinhalten, Preisen oder Bestellungen.
Reputationsschaden: Vertrauensverlust bei Kunden und Geschäftspartnern.
Betreiber von WooCommerce-Shops in der EU müssen bei einem erfolgreichen RCE-Angriff und dem damit verbundenen Abfluss personenbezogener Daten eine Meldung gemäß DSGVO Art. 33 innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde erstatten. Unter NIS-2 können für betroffene Betreiber wesentlicher oder wichtiger Einrichtungen zusätzlich verschärfte Meldepflichten und Maßnahmen zur Risikominimierung gelten. Das BSI empfiehlt grundsätzlich, Sicherheitsupdates für kritische Schwachstellen unverzüglich einzuspielen.
Es ist außerdem anzumerken, dass WPFunnels bereits im April 2026 mit CVE-2026-0626 (Stored Cross-Site Scripting in Versionen bis einschließlich 3.7.9) von einer öffentlich gemeldeten Schwachstelle betroffen war. Die nun veröffentlichte RCE-Lücke ist innerhalb von drei Monaten die zweite kritische Schwachstelle in diesem Plugin — ein Umstand, der das Drittanbieter-Risiko dieses Plugins unterstreicht.
Empfohlene Handlungsmaßnahmen
Unternehmen, die das WPFunnels-Plugin einsetzen, sollten umgehend folgende Maßnahmen ergreifen:
Sofortmaßnahme: Führen Sie ein Update des WPFunnels-Plugins auf die Version 3.12.8 oder neuer durch. Dies ist der effektivste Weg, die Schwachstelle zu schließen.
Alternative Eindämmung: Falls ein sofortiges Update nicht möglich ist, deaktivieren Sie die Logging-Funktion in den Plugin-Einstellungen („Enable Logs“), um den Angriffsvektor zu unterbrechen.
Kurzfristige Prüfung: Überprüfen Sie die Server-Logs auf verdächtige Zugriffe auf die Log-Ansicht des Plugins und untersuchen Sie die Log-Dateien von WPFunnels auf Anzeichen von Manipulation.
Wie External Attack Surface Management (EASM) unterstützt
Schwachstellen wie CVE-2026-14345 verdeutlichen die Notwendigkeit, die eigene externe Angriffsfläche kontinuierlich zu überwachen. Oftmals sind sich Unternehmen nicht aller eingesetzten Software-Komponenten bewusst — insbesondere auf Marketing-Websites, in Testumgebungen oder auf vergessenen Subdomains (Schatten-IT).
Eine EASM-Plattform wie LocateRisk unterstützt diesen Prozess auf mehreren Ebenen:
Inventarisierung: LocateRisk deckt kontinuierlich alle extern erreichbaren Systeme auf, einschließlich öffentlich erreichbarer WordPress-Installationen und bislang unbekannter Schatten-IT. So erkennen Sie schnell, wo in Ihrer Infrastruktur überhaupt WordPress-Instanzen betrieben werden — auch dort, wo Systeme nicht zentral erfasst sind — und können deren Versionsstand gezielt abgleichen.
Schwachstellen-Erkennung: Die Plattform erkennt bekannte Schwachstellen in den identifizierten Komponenten und ermöglicht eine schnelle Risikobewertung sowie die Priorisierung notwendiger Updates.
Kontinuierliches Schwachstellen-Monitoring: Jedes installierte Plugin erweitert Ihre eigene Angriffsfläche. LocateRisk überwacht Ihre öffentlich erreichbaren Web-Assets kontinuierlich und weist Sie auf exponierte, veraltete Komponenten hin — auch bei wiederholten Schwachstellen desselben Herstellers.
Durch die automatisierte Überwachung der Angriffsfläche lässt sich die Zeit zwischen der Veröffentlichung einer Schwachstelle und ihrer Behebung im eigenen Unternehmen erheblich reduzieren.
Eine kontinuierliche Überwachung Ihrer externen IT-Systeme ist ein fundamentaler Baustein der Cyberabwehr. LocateRisk unterstützt dabei, exponierte und potenziell verwundbare Systeme frühzeitig zu identifizieren und das Risiko einer Ausnutzung zu reduzieren.
Alle Versionen des Plugins bis einschließlich 3.12.7 sind von der Schwachstelle CVE-2026-14345 betroffen. Die Sicherheitslücke wurde mit der Veröffentlichung von Version 3.12.8 am 6. Juli 2026 behoben.
Aufgrund des kritischen CVSS-Scores von 9.8 ist das Update als sehr dringend einzustufen. Angreifer können den ersten Schritt zur Kompromittierung — die Code-Injektion über den postData-Parameter — ohne Authentifizierung durchführen, da das benötigte Nonce-Token auf jeder öffentlichen Funnel-Seite ausgegeben wird.
Zum Zeitpunkt der Veröffentlichung dieses Artikels liegen laut Wordfence keine Berichte über eine aktive Ausnutzung vor. Erfahrungsgemäß beginnen Angreifer jedoch kurz nach Bekanntwerden kritischer Lücken mit automatisierten Scans nach verwundbaren Systemen, weshalb eine unverzügliche Aktualisierung empfohlen wird.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.