{"id":9075,"date":"2026-07-02T12:49:49","date_gmt":"2026-07-02T12:49:49","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=9075"},"modified":"2026-07-08T08:15:28","modified_gmt":"2026-07-08T08:15:28","slug":"cve-2026-57677","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/","title":{"rendered":"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/de\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span>Am 2. Juli 2026 wurde laut Patchstack eine kritische Sicherheitsl\u00fccke im WordPress-Plugin <strong>Novalnet Payment Gateway for WooCommerce<\/strong> mit einem CVSS-Score von <strong>9.8<\/strong> ver\u00f6ffentlicht. Die Schwachstelle, registriert als <strong>CVE-2026-57677<\/strong>, betrifft alle Versionen bis einschlie\u00dflich <strong>12.10.3<\/strong> und erm\u00f6glicht Angreifern die vollst\u00e4ndige \u00dcbernahme eines Online-Shops ohne vorherige Authentifizierung.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png\" alt=\"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)\" class=\"wp-image-9074\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<p><strong>Zentrale Fakten:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-ID:<\/strong> CVE-2026-57677 (laut <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/woocommerce-novalnet-gateway\/vulnerability\/wordpress-novalnet-payment-gateway-for-woocommerce-plugin-12-10-3-php-object-injection-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">Patchstack-Advisory<\/a>)<\/li>\n\n\n\n<li><strong>CVSS-Score:<\/strong> <strong>9.8<\/strong> (Kritisch)<\/li>\n\n\n\n<li><strong>Betroffene Software:<\/strong> Novalnet Payment Gateway f\u00fcr WooCommerce <= 12.10.3<\/li>\n\n\n\n<li><strong>Angriffsart:<\/strong> Unauthenticated PHP Object Injection<\/li>\n\n\n\n<li><strong>Aktive Ausnutzung:<\/strong> Zum Zeitpunkt der Ver\u00f6ffentlichung keine aktive Ausnutzung bekannt (Stand: 2. Juli 2026)<\/li>\n\n\n\n<li><strong>Empfehlung:<\/strong> Umgehendes Update auf Version 12.10.4<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Technische Analyse von CVE-2026-57677<\/strong><\/h2>\n\n\n\n<p>Laut dem von Patchstack ver\u00f6ffentlichten <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/woocommerce-novalnet-gateway\/vulnerability\/wordpress-novalnet-payment-gateway-for-woocommerce-plugin-12-10-3-php-object-injection-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">Advisory<\/a> liegt die Ursache der Schwachstelle in der unsicheren Verarbeitung von serialisierten Daten. Ein Angreifer kann speziell pr\u00e4parierte Eingaben an das Plugin senden, die bei der Deserialisierung \u2013 sofern eine geeignete POP-Chain vorhanden ist \u2013 zur Ausf\u00fchrung von beliebigem PHP-Code auf dem Server f\u00fchren k\u00f6nnen. Dieser Vorgang erfordert keine Zugangsdaten oder Benutzerinteraktion.<\/p>\n\n\n\n<p>Der CVSS-Vektor <strong>CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/strong> beschreibt das hohe Risiko:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Attack Vector: Network (AV:N):<\/strong> Der Angriff kann aus dem Internet erfolgen.<\/li>\n\n\n\n<li><strong>Attack Complexity: Low (AC:L):<\/strong> Die Ausnutzung ist unkompliziert.<\/li>\n\n\n\n<li><strong>Privileges Required: None (PR:N):<\/strong> Es sind keine Anmeldedaten erforderlich.<\/li>\n\n\n\n<li><strong>User Interaction: None (UI:N):<\/strong> Der Angriff ben\u00f6tigt keine Aktion eines Nutzers.<\/li>\n\n\n\n<li><strong>Impact: High (C:H, I:H, A:H):<\/strong> Ein erfolgreicher Angriff beeintr\u00e4chtigt Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit des Systems maximal.<\/li>\n<\/ul>\n\n\n\n<p>Ein Angreifer kann somit sensible Kundendaten und Zahlungsinformationen auslesen, Transaktionen manipulieren oder den gesamten Shop-Betrieb lahmlegen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Betroffene Systeme und Risikobewertung<\/strong><\/h2>\n\n\n\n<p>Gef\u00e4hrdet sind alle E-Commerce-Betreiber, die WooCommerce in Kombination mit dem betroffenen Novalnet-Plugin in einer verwundbaren Version einsetzen. Da das Plugin direkt in den Zahlungsprozess integriert ist, ist das Schadenspotenzial besonders hoch. Angreifer k\u00f6nnten Zahlungsvorg\u00e4nge auf eigene Konten umleiten oder den kompromittierten Server f\u00fcr weitere Angriffe nutzen. Durch die einfache, unauthentifizierte Ausnutzbarkeit ist davon auszugehen, dass automatisierte Scans nach verwundbaren Systemen suchen werden.<\/p>\n\n\n\n<p>Da Novalnet AG ein deutsches Unternehmen mit Sitz in Garching bei M\u00fcnchen ist und das Plugin laut WordPress.org auf rund 1.000 aktiven Installationen l\u00e4uft, sind \u00fcberwiegend Betreiber im DACH-Raum betroffen. Unternehmen, die personenbezogene Daten von EU-B\u00fcrgerinnen und -B\u00fcrgern verarbeiten, sollten beachten: Wird die Schwachstelle ausgenutzt und kommt es zu einem Datenleck, greift gem\u00e4\u00df Art. 33 DSGVO eine Meldepflicht gegen\u00fcber der zust\u00e4ndigen Datenschutzbeh\u00f6rde innerhalb von 72 Stunden. Betreiber, die unter die NIS-2-Richtlinie fallen \u2013 etwa als wichtige oder wesentliche Einrichtungen im Bereich digitale Infrastruktur oder Handel \u2013, sollten die Schwachstelle zudem in ihre Meldekette und ihr Risikomanagement einbeziehen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Empfohlene Gegenma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Shop-Betreiber sollten unverz\u00fcglich handeln, um ihre Systeme zu sch\u00fctzen.<\/p>\n\n\n\n<p><strong>1. Sofortige \u00dcberpr\u00fcfung:<\/strong> Verifizieren Sie die installierte Version des \u201eNovalnet Payment Gateway for WooCommerce&#8220;-Plugins in Ihrem WordPress-Backend. Versionen bis einschlie\u00dflich 12.10.3 sind verwundbar.<\/p>\n\n\n\n<p><strong>2. Update vorbereiten und durchf\u00fchren:<\/strong> Aktualisieren Sie das Plugin umgehend auf <strong>Version 12.10.4<\/strong>, die die Schwachstelle behebt (verbesserte Webhook-Validierung). \u00c4ltere Versionen bis einschlie\u00dflich 12.10.3 sind verwundbar.<\/p>\n\n\n\n<p><strong>3. Tempor\u00e4re Ma\u00dfnahmen (falls kein Update verf\u00fcgbar ist):<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Plugin deaktivieren:<\/strong> Wenn ein Update nicht sofort m\u00f6glich ist, deaktivieren Sie das Plugin, um den Angriffsvektor zu schlie\u00dfen. Beachten Sie, dass dies die Zahlungsabwicklung beeintr\u00e4chtigt.<\/li>\n\n\n\n<li><strong>Web Application Firewall (WAF):<\/strong> Richten Sie WAF-Regeln ein, die bekannte Muster von PHP-Deserialisierungs-Angriffen erkennen und blockieren. Dies dient als zus\u00e4tzliche Schutzschicht, ersetzt aber nicht das notwendige Software-Update.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Wie EASM die Erkennung von Risiken unterst\u00fctzt<\/strong><\/h2>\n\n\n\n<p>Schwachstellen wie <strong>CVE-2026-57677<\/strong> verdeutlichen, wie wichtig eine vollst\u00e4ndige Sichtbarkeit der eigenen externen Angriffsfl\u00e4che ist. In der Praxis wissen viele Organisationen nicht, welche Plugins und Softwarekomponenten auf ihren mit dem Internet verbundenen Systemen tats\u00e4chlich aktiv sind \u2013 insbesondere wenn \u00fcber die Jahre hinweg Subsysteme, Microsites oder Shop-Instanzen entstanden sind, die nicht mehr zentral verwaltet werden.<\/p>\n\n\n\n<p>Ein External Attack Surface Management (EASM) wie LocateRisk hilft dabei, genau diese blinden Flecken aufzudecken: Die Plattform erkennt extern erreichbare Komponenten wie das Novalnet-Plugin anhand charakteristischer Merkmale, beispielsweise spezifischer Dateipfade wie <strong>\/wp-content\/plugins\/woocommerce-novalnet-gateway\/<\/strong>, und erstellt ein kontinuierlich aktualisiertes Inventar aller exponierten Assets. So lassen sich vergessene Shop-Instanzen, ungetrackte Cloud-Deployments oder unkontrollierte Testumgebungen identifizieren, die au\u00dferhalb des regul\u00e4ren Patch-Prozesses liegen. Diese Transparenz erm\u00f6glicht es Sicherheitsteams, betroffene Systeme nach einer Schwachstellen-Disclosure schnell zu lokalisieren und den Patch-Prozess gezielt zu steuern \u2013 und so das Risiko einer Ausnutzung zu minimieren.<\/p>\n\n\n\n<p>LocateRisk ist eine in Deutschland entwickelte und gehostete L\u00f6sung, die bei der Erf\u00fcllung von DSGVO-Anforderungen unterst\u00fctzt und den Anforderungen an die digitale Souver\u00e4nit\u00e4t gerecht wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Patchstack Advisory (Prim\u00e4rquelle):<\/strong> <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/woocommerce-novalnet-gateway\/vulnerability\/wordpress-novalnet-payment-gateway-for-woocommerce-plugin-12-10-3-php-object-injection-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">patchstack.com<\/a><\/li>\n\n\n\n<li><strong>Novalnet AG (Hersteller):<\/strong> <a href=\"https:\/\/www.novalnet.com\/integration\/woocommerce\/\" target=\"_blank\" rel=\"noreferrer noopener\">novalnet.com<\/a><\/li>\n\n\n\n<li><strong>WordPress Plugin Repository:<\/strong> <a href=\"https:\/\/wordpress.org\/plugins\/woocommerce-novalnet-gateway\/\" target=\"_blank\" rel=\"noreferrer noopener\">wordpress.org<\/a><\/li>\n\n\n\n<li><strong>GitHub Repository:<\/strong> <a href=\"https:\/\/github.com\/Novalnet-AG\/woocommerce-payment-integration-novalnet\" target=\"_blank\" rel=\"noreferrer noopener\">github.com<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h2>\n\n\n\n<p>LocateRisk identifiziert exponierte und verwundbare Systeme in Ihrer IT-Landschaft, bevor Angreifer es tun.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check anfordern<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was ist PHP Object Injection und warum ist sie gef\u00e4hrlich?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">PHP Object Injection ist eine Schwachstelle, bei der ein Angreifer manipulierte, serialisierte Daten an eine Anwendung sendet, die diese ohne ausreichende Pr\u00fcfung deserialisiert. Im Fall von CVE-2026-57677 kann dies dazu f\u00fchren, dass beliebiger PHP-Code auf dem Webserver ausgef\u00fchrt wird \u2013 ohne dass der Angreifer \u00fcber Zugangsdaten verf\u00fcgen oder einen Nutzer zur Interaktion bewegen muss.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche Versionen des Novalnet WooCommerce-Plugins sind betroffen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Betroffen sind alle Versionen des Novalnet Payment Gateway for WooCommerce bis einschlie\u00dflich Version <strong>12.10.3<\/strong>. Die Schwachstelle wurde mit Version <strong>12.10.4<\/strong> behoben; ein Update auf diese Version wird dringend empfohlen.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was sollte ich tun, wenn ich nicht sofort updaten kann?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Deaktivieren Sie das Plugin tempor\u00e4r, um den Angriffsvektor zu schlie\u00dfen, und richten Sie erg\u00e4nzend WAF-Regeln ein, die bekannte PHP-Deserialisierungs-Angriffsmuster erkennen und blockieren. Sobald m\u00f6glich, aktualisieren Sie das Plugin auf Version <strong>12.10.4<\/strong>, die die Schwachstelle behebt.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"de\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/de\/cve-2026-57677\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: block; width: 100%; height: 50px; border: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 50px; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.<\/p>\n","protected":false},"author":13,"featured_media":9074,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[632],"tags":[685,260,689,686,688,511,16,357,687],"class_list":["post-9075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-news","tag-cve-2026-57677","tag-cvss-9-8","tag-e-commerce-sicherheit-2","tag-novalnet","tag-payment-gateway","tag-php-object-injection","tag-sicherheitsluecke","tag-woocommerce","tag-wordpress-plugin"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677<\/title>\n<meta name=\"description\" content=\"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/de\/cve-2026-57677\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677\" \/>\n<meta property=\"og:description\" content=\"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/de\/cve-2026-57677\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-02T12:49:49+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T08:15:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)\",\"datePublished\":\"2026-07-02T12:49:49+00:00\",\"dateModified\":\"2026-07-08T08:15:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/\"},\"wordCount\":26,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-57677-featured.png\",\"keywords\":[\"CVE-2026-57677\",\"CVSS 9.8\",\"E-Commerce Sicherheit\",\"Novalnet\",\"Payment Gateway\",\"PHP Object Injection\",\"Sicherheitsl\u00fccke\",\"WooCommerce\",\"WordPress Plugin\"],\"articleSection\":[\"Cybersecurity News\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/\",\"name\":\"Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-57677-featured.png\",\"datePublished\":\"2026-07-02T12:49:49+00:00\",\"dateModified\":\"2026-07-08T08:15:28+00:00\",\"description\":\"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-57677-featured.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-57677-featured.png\",\"width\":400,\"height\":400,\"caption\":\"Kritische Schwachstelle CVE-2026-57677 im Novalnet WooCommerce-Plugin\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-57677\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677","description":"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/","og_locale":"de_DE","og_type":"article","og_title":"Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677","og_description":"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.","og_url":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/","og_site_name":"LocateRisk","article_published_time":"2026-07-02T12:49:49+00:00","article_modified_time":"2026-07-08T08:15:28+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Kristina Hoinkis"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)","datePublished":"2026-07-02T12:49:49+00:00","dateModified":"2026-07-08T08:15:28+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/"},"wordCount":26,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png","keywords":["CVE-2026-57677","CVSS 9.8","E-Commerce Sicherheit","Novalnet","Payment Gateway","PHP Object Injection","Sicherheitsl\u00fccke","WooCommerce","WordPress Plugin"],"articleSection":["Cybersecurity News"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/","url":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/","name":"Novalnet (WooCommerce): Kritische L\u00fccke CVE-2026-57677","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png","datePublished":"2026-07-02T12:49:49+00:00","dateModified":"2026-07-08T08:15:28+00:00","description":"CVE-2026-57677 (CVSS 9.8) im Novalnet-Plugin f\u00fcr WooCommerce erlaubt unauthentifizierte Shop-\u00dcbernahme. Update auf 12.10.4 einspielen.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/cve-2026-57677\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-57677-featured.png","width":400,"height":400,"caption":"Kritische Schwachstelle CVE-2026-57677 im Novalnet WooCommerce-Plugin"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/cve-2026-57677\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"Novalnet f\u00fcr WooCommerce: Kritische L\u00fccke (CVE-2026-57677)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"IT-Sicherheit messen und vergleichen","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/comments?post=9075"}],"version-history":[{"count":3,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9075\/revisions"}],"predecessor-version":[{"id":9131,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9075\/revisions\/9131"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media\/9074"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media?parent=9075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/categories?post=9075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/tags?post=9075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}