Novalnet für WooCommerce: Kritische Lücke (CVE-2026-57677)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Am 2. Juli 2026 wurde laut Patchstack eine kritische Sicherheitslücke im WordPress-Plugin Novalnet Payment Gateway for WooCommerce mit einem CVSS-Score von 9.8 veröffentlicht. Die Schwachstelle, registriert als CVE-2026-57677, betrifft alle Versionen bis einschließlich 12.10.3 und ermöglicht Angreifern die vollständige Übernahme eines Online-Shops ohne vorherige Authentifizierung.
Betroffene Software: Novalnet Payment Gateway für WooCommerce <= 12.10.3
Angriffsart: Unauthenticated PHP Object Injection
Aktive Ausnutzung: Zum Zeitpunkt der Veröffentlichung keine aktive Ausnutzung bekannt (Stand: 2. Juli 2026)
Empfehlung: Umgehendes Update auf Version 12.10.4
Technische Analyse von CVE-2026-57677
Laut dem von Patchstack veröffentlichten Advisory liegt die Ursache der Schwachstelle in der unsicheren Verarbeitung von serialisierten Daten. Ein Angreifer kann speziell präparierte Eingaben an das Plugin senden, die bei der Deserialisierung – sofern eine geeignete POP-Chain vorhanden ist – zur Ausführung von beliebigem PHP-Code auf dem Server führen können. Dieser Vorgang erfordert keine Zugangsdaten oder Benutzerinteraktion.
Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H beschreibt das hohe Risiko:
Attack Vector: Network (AV:N): Der Angriff kann aus dem Internet erfolgen.
Attack Complexity: Low (AC:L): Die Ausnutzung ist unkompliziert.
Privileges Required: None (PR:N): Es sind keine Anmeldedaten erforderlich.
User Interaction: None (UI:N): Der Angriff benötigt keine Aktion eines Nutzers.
Impact: High (C:H, I:H, A:H): Ein erfolgreicher Angriff beeinträchtigt Vertraulichkeit, Integrität und Verfügbarkeit des Systems maximal.
Ein Angreifer kann somit sensible Kundendaten und Zahlungsinformationen auslesen, Transaktionen manipulieren oder den gesamten Shop-Betrieb lahmlegen.
Betroffene Systeme und Risikobewertung
Gefährdet sind alle E-Commerce-Betreiber, die WooCommerce in Kombination mit dem betroffenen Novalnet-Plugin in einer verwundbaren Version einsetzen. Da das Plugin direkt in den Zahlungsprozess integriert ist, ist das Schadenspotenzial besonders hoch. Angreifer könnten Zahlungsvorgänge auf eigene Konten umleiten oder den kompromittierten Server für weitere Angriffe nutzen. Durch die einfache, unauthentifizierte Ausnutzbarkeit ist davon auszugehen, dass automatisierte Scans nach verwundbaren Systemen suchen werden.
Da Novalnet AG ein deutsches Unternehmen mit Sitz in Garching bei München ist und das Plugin laut WordPress.org auf rund 1.000 aktiven Installationen läuft, sind überwiegend Betreiber im DACH-Raum betroffen. Unternehmen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, sollten beachten: Wird die Schwachstelle ausgenutzt und kommt es zu einem Datenleck, greift gemäß Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden. Betreiber, die unter die NIS-2-Richtlinie fallen – etwa als wichtige oder wesentliche Einrichtungen im Bereich digitale Infrastruktur oder Handel –, sollten die Schwachstelle zudem in ihre Meldekette und ihr Risikomanagement einbeziehen.
Empfohlene Gegenmaßnahmen
Shop-Betreiber sollten unverzüglich handeln, um ihre Systeme zu schützen.
1. Sofortige Überprüfung: Verifizieren Sie die installierte Version des „Novalnet Payment Gateway for WooCommerce“-Plugins in Ihrem WordPress-Backend. Versionen bis einschließlich 12.10.3 sind verwundbar.
2. Update vorbereiten und durchführen: Aktualisieren Sie das Plugin umgehend auf Version 12.10.4, die die Schwachstelle behebt (verbesserte Webhook-Validierung). Ältere Versionen bis einschließlich 12.10.3 sind verwundbar.
3. Temporäre Maßnahmen (falls kein Update verfügbar ist):
Plugin deaktivieren: Wenn ein Update nicht sofort möglich ist, deaktivieren Sie das Plugin, um den Angriffsvektor zu schließen. Beachten Sie, dass dies die Zahlungsabwicklung beeinträchtigt.
Web Application Firewall (WAF): Richten Sie WAF-Regeln ein, die bekannte Muster von PHP-Deserialisierungs-Angriffen erkennen und blockieren. Dies dient als zusätzliche Schutzschicht, ersetzt aber nicht das notwendige Software-Update.
Wie EASM die Erkennung von Risiken unterstützt
Schwachstellen wie CVE-2026-57677 verdeutlichen, wie wichtig eine vollständige Sichtbarkeit der eigenen externen Angriffsfläche ist. In der Praxis wissen viele Organisationen nicht, welche Plugins und Softwarekomponenten auf ihren mit dem Internet verbundenen Systemen tatsächlich aktiv sind – insbesondere wenn über die Jahre hinweg Subsysteme, Microsites oder Shop-Instanzen entstanden sind, die nicht mehr zentral verwaltet werden.
Ein External Attack Surface Management (EASM) wie LocateRisk hilft dabei, genau diese blinden Flecken aufzudecken: Die Plattform erkennt extern erreichbare Komponenten wie das Novalnet-Plugin anhand charakteristischer Merkmale, beispielsweise spezifischer Dateipfade wie /wp-content/plugins/woocommerce-novalnet-gateway/, und erstellt ein kontinuierlich aktualisiertes Inventar aller exponierten Assets. So lassen sich vergessene Shop-Instanzen, ungetrackte Cloud-Deployments oder unkontrollierte Testumgebungen identifizieren, die außerhalb des regulären Patch-Prozesses liegen. Diese Transparenz ermöglicht es Sicherheitsteams, betroffene Systeme nach einer Schwachstellen-Disclosure schnell zu lokalisieren und den Patch-Prozess gezielt zu steuern – und so das Risiko einer Ausnutzung zu minimieren.
LocateRisk ist eine in Deutschland entwickelte und gehostete Lösung, die bei der Erfüllung von DSGVO-Anforderungen unterstützt und den Anforderungen an die digitale Souveränität gerecht wird.
PHP Object Injection ist eine Schwachstelle, bei der ein Angreifer manipulierte, serialisierte Daten an eine Anwendung sendet, die diese ohne ausreichende Prüfung deserialisiert. Im Fall von CVE-2026-57677 kann dies dazu führen, dass beliebiger PHP-Code auf dem Webserver ausgeführt wird – ohne dass der Angreifer über Zugangsdaten verfügen oder einen Nutzer zur Interaktion bewegen muss.
Betroffen sind alle Versionen des Novalnet Payment Gateway for WooCommerce bis einschließlich Version 12.10.3. Die Schwachstelle wurde mit Version 12.10.4 behoben; ein Update auf diese Version wird dringend empfohlen.
Deaktivieren Sie das Plugin temporär, um den Angriffsvektor zu schließen, und richten Sie ergänzend WAF-Regeln ein, die bekannte PHP-Deserialisierungs-Angriffsmuster erkennen und blockieren. Sobald möglich, aktualisieren Sie das Plugin auf Version 12.10.4, die die Schwachstelle behebt.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.