{"id":9108,"date":"2026-07-07T07:41:56","date_gmt":"2026-07-07T07:41:56","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=9108"},"modified":"2026-07-08T12:28:27","modified_gmt":"2026-07-08T12:28:27","slug":"cve-2026-14345","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/en\/cve-2026-14345\/","title":{"rendered":"WPFunnels: Critical RCE Vulnerability (CVE-2026-14345, CVSS 9.8)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/en\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span>Am 7. Juli 2026 wurde eine kritische Schwachstelle im WordPress-Plugin <strong>WPFunnels<\/strong> ver\u00f6ffentlicht, die mit einem CVSS-Score von <strong>9.8<\/strong> bewertet ist. Die L\u00fccke, dokumentiert als <strong><a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/id\/5d84d749-0ab5-49dd-8e4f-45681f197742?source=cve\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2026-14345<\/a><\/strong> (laut Wordfence CNA), erm\u00f6glicht Angreifern die Ausf\u00fchrung von beliebigem Code auf dem Server (Remote Code Execution, RCE). Alle Plugin-Versionen bis einschlie\u00dflich 3.12.7 sind betroffen. Ein Sicherheitsupdate auf Version 3.12.8 steht zur Verf\u00fcgung und sollte umgehend installiert werden.<br><br><a href=\"#cve-check\" class=\"lr-cveqc-jump\" style=\"display:inline-block;font-weight:700;color:#26d9c3;text-decoration:none;\">Sind meine Systeme betroffen? Jetzt pr\u00fcfen \u2192<\/a><\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png\" alt=\"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)\" class=\"wp-image-9107\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<h3 class=\"wp-block-heading\"><strong>Die Fakten im \u00dcberblick<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-ID:<\/strong> <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/id\/5d84d749-0ab5-49dd-8e4f-45681f197742?source=cve\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2026-14345<\/a><\/li>\n\n\n\n<li><strong>CVSS-Score:<\/strong> <strong>9.8<\/strong> (Kritisch)<\/li>\n\n\n\n<li><strong>Betroffene Software:<\/strong> WPFunnels \u2013 Funnel Builder for WooCommerce<\/li>\n\n\n\n<li><strong>Betroffene Versionen:<\/strong> Alle Versionen bis einschlie\u00dflich 3.12.7<\/li>\n\n\n\n<li><strong>Art der L\u00fccke:<\/strong> Remote Code Execution (RCE)<\/li>\n\n\n\n<li><strong>Behobene Version:<\/strong> 3.12.8 (ver\u00f6ffentlicht am 6. Juli 2026)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Technische Analyse der Schwachstelle<\/strong><\/h2>\n\n\n\n<p>Die Schwachstelle <strong>CVE-2026-14345<\/strong> resultiert aus einer unzureichenden Validierung von Eingabedaten in der Logging-Funktion des Plugins. Der Angriff verl\u00e4uft in zwei Phasen:<\/p>\n\n\n\n<ol class=\"wp-block-list has-text-color\" style=\"color:#ffffff\">\n<li><strong>Code-Injektion (unauthentifiziert):<\/strong> Ein Angreifer kann speziell pr\u00e4parierten PHP-Code \u00fcber den <strong>postData<\/strong>-Parameter an das System senden. Das Plugin schreibt diese Eingabe ungefiltert in eine Log-Datei mit der Endung <strong>.log<\/strong>. Obwohl f\u00fcr diese Aktion ein Nonce-Token ben\u00f6tigt wird, wird dieses auf jeder \u00f6ffentlichen Seite eines Verkaufstrichters (Funnel) ausgegeben. Dadurch kann dieser Schritt ohne vorherige Authentifizierung durchgef\u00fchrt werden.<\/li>\n<\/ol>\n\n\n\n<ol class=\"wp-block-list has-text-color\" style=\"color:#ffffff\">\n<li><strong>Code-Ausf\u00fchrung (administratorgesteuert):<\/strong> Die eigentliche Ausf\u00fchrung des sch\u00e4dlichen Codes wird ausgel\u00f6st, wenn ein Administrator die Log-Dateien \u00fcber die Benutzeroberfl\u00e4che des Plugins aufruft. Dabei wird die manipulierte Log-Datei \u00fcber die PHP-Funktion <strong>include_once<\/strong> geladen und der darin enthaltene PHP-Code im Kontext des Webservers ausgef\u00fchrt.<\/li>\n<\/ol>\n\n\n\n<p>Obwohl f\u00fcr den finalen Schritt eine Administrator-Interaktion notwendig ist, erm\u00f6glicht die unauthentifizierte Injektion Angreifern, den Schadcode vorzubereiten und auf eine g\u00fcnstige Gelegenheit zur Ausf\u00fchrung zu warten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Risikobewertung und gesch\u00e4ftliche Auswirkungen<\/strong><\/h2>\n\n\n\n<p>Eine erfolgreiche Ausnutzung dieser RCE-Schwachstelle kann zur vollst\u00e4ndigen Kompromittierung der Website f\u00fchren. Da WPFunnels h\u00e4ufig in E-Commerce-Umgebungen mit WooCommerce eingesetzt wird, sind die potenziellen Folgen gravierend:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Datendiebstahl:<\/strong> Abfluss sensibler Kunden- und Zahlungsdaten.<\/li>\n\n\n\n<li><strong>System\u00fcbernahme:<\/strong> Angreifer k\u00f6nnen den Server kontrollieren, um weitere Angriffe zu starten oder Malware zu verbreiten.<\/li>\n\n\n\n<li><strong>Integrit\u00e4tsverlust:<\/strong> Manipulation von Webinhalten, Preisen oder Bestellungen.<\/li>\n\n\n\n<li><strong>Reputationsschaden:<\/strong> Vertrauensverlust bei Kunden und Gesch\u00e4ftspartnern.<\/li>\n<\/ul>\n\n\n\n<p>Betreiber von WooCommerce-Shops in der EU m\u00fcssen bei einem erfolgreichen RCE-Angriff und dem damit verbundenen Abfluss personenbezogener Daten eine Meldung gem\u00e4\u00df <strong>DSGVO Art. 33<\/strong> innerhalb von 72 Stunden an die zust\u00e4ndige Datenschutzaufsichtsbeh\u00f6rde erstatten. Unter <strong>NIS-2<\/strong> k\u00f6nnen f\u00fcr betroffene Betreiber wesentlicher oder wichtiger Einrichtungen zus\u00e4tzlich versch\u00e4rfte Meldepflichten und Ma\u00dfnahmen zur Risikominimierung gelten. Das BSI empfiehlt grunds\u00e4tzlich, Sicherheitsupdates f\u00fcr kritische Schwachstellen unverz\u00fcglich einzuspielen.<\/p>\n\n\n\n<p>Es ist au\u00dferdem anzumerken, dass WPFunnels bereits im April 2026 mit <strong>CVE-2026-0626<\/strong> (Stored Cross-Site Scripting in Versionen bis einschlie\u00dflich 3.7.9) von einer \u00f6ffentlich gemeldeten Schwachstelle betroffen war. Die nun ver\u00f6ffentlichte RCE-L\u00fccke ist innerhalb von drei Monaten die zweite kritische Schwachstelle in diesem Plugin \u2014 ein Umstand, der das Drittanbieter-Risiko dieses Plugins unterstreicht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Empfohlene Handlungsma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Unternehmen, die das WPFunnels-Plugin einsetzen, sollten umgehend folgende Ma\u00dfnahmen ergreifen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Sofortma\u00dfnahme:<\/strong> F\u00fchren Sie ein Update des <strong>WPFunnels<\/strong>-Plugins auf die Version <strong>3.12.8<\/strong> oder neuer durch. Dies ist der effektivste Weg, die Schwachstelle zu schlie\u00dfen.<\/li>\n\n\n\n<li><strong>Alternative Eind\u00e4mmung:<\/strong> Falls ein sofortiges Update nicht m\u00f6glich ist, deaktivieren Sie die Logging-Funktion in den Plugin-Einstellungen (\u201eEnable Logs&#8220;), um den Angriffsvektor zu unterbrechen.<\/li>\n\n\n\n<li><strong>Kurzfristige Pr\u00fcfung:<\/strong> \u00dcberpr\u00fcfen Sie die Server-Logs auf verd\u00e4chtige Zugriffe auf die Log-Ansicht des Plugins und untersuchen Sie die Log-Dateien von WPFunnels auf Anzeichen von Manipulation.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Wie External Attack Surface Management (EASM) unterst\u00fctzt<\/strong><\/h2>\n\n\n\n<p>Schwachstellen wie CVE-2026-14345 verdeutlichen die Notwendigkeit, die eigene externe Angriffsfl\u00e4che kontinuierlich zu \u00fcberwachen. Oftmals sind sich Unternehmen nicht aller eingesetzten Software-Komponenten bewusst \u2014 insbesondere auf Marketing-Websites, in Testumgebungen oder auf vergessenen Subdomains (Schatten-IT).<\/p>\n\n\n\n<p>Eine EASM-Plattform wie LocateRisk unterst\u00fctzt diesen Prozess auf mehreren Ebenen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Inventarisierung:<\/strong> LocateRisk deckt kontinuierlich alle extern erreichbaren Systeme auf, einschlie\u00dflich \u00f6ffentlich erreichbarer WordPress-Installationen und bislang unbekannter Schatten-IT. So erkennen Sie schnell, wo in Ihrer Infrastruktur \u00fcberhaupt WordPress-Instanzen betrieben werden \u2014 auch dort, wo Systeme nicht zentral erfasst sind \u2014 und k\u00f6nnen deren Versionsstand gezielt abgleichen.<\/li>\n\n\n\n<li><strong>Schwachstellen-Erkennung:<\/strong> Die Plattform erkennt bekannte Schwachstellen in den identifizierten Komponenten und erm\u00f6glicht eine schnelle Risikobewertung sowie die Priorisierung notwendiger Updates.<\/li>\n\n\n\n<li><strong>Kontinuierliches Schwachstellen-Monitoring:<\/strong> Jedes installierte Plugin erweitert Ihre eigene Angriffsfl\u00e4che. LocateRisk \u00fcberwacht Ihre \u00f6ffentlich erreichbaren Web-Assets kontinuierlich und weist Sie auf exponierte, veraltete Komponenten hin \u2014 auch bei wiederholten Schwachstellen desselben Herstellers.<\/li>\n<\/ul>\n\n\n\n<p>Durch die automatisierte \u00dcberwachung der Angriffsfl\u00e4che l\u00e4sst sich die Zeit zwischen der Ver\u00f6ffentlichung einer Schwachstelle und ihrer Behebung im eigenen Unternehmen erheblich reduzieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Wordfence Advisory (Prim\u00e4rquelle):<\/strong> <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/id\/5d84d749-0ab5-49dd-8e4f-45681f197742?source=cve\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2026-14345 Details<\/a><\/li>\n\n\n\n<li><strong>Hersteller-Changelog:<\/strong> <a href=\"https:\/\/getwpfunnels.com\/changelog\/wpfunnels-3-12-8\/\" target=\"_blank\" rel=\"noreferrer noopener\">WPFunnels Version 3.12.8<\/a><\/li>\n\n\n\n<li><strong>WordPress Plugin Repository:<\/strong> <a href=\"https:\/\/wordpress.org\/plugins\/wpfunnels\/\" target=\"_blank\" rel=\"noreferrer noopener\">WPFunnels Plugin-Seite<\/a><\/li>\n\n\n\n<li><strong>Fr\u00fchere Schwachstelle CVE-2026-0626 (Stored XSS):<\/strong> <a href=\"https:\/\/www.sentinelone.com\/vulnerability-database\/cve-2026-0626\/\" target=\"_blank\" rel=\"noreferrer noopener\">SentinelOne Vulnerability Database<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h3>\n\n\n\n<p>Eine kontinuierliche \u00dcberwachung Ihrer externen IT-Systeme ist ein fundamentaler Baustein der Cyberabwehr. LocateRisk unterst\u00fctzt dabei, exponierte und potenziell verwundbare Systeme fr\u00fchzeitig zu identifizieren und das Risiko einer Ausnutzung zu reduzieren.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check anfordern<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche Versionen von WPFunnels sind von CVE-2026-14345 betroffen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Alle Versionen des Plugins bis einschlie\u00dflich 3.12.7 sind von der Schwachstelle CVE-2026-14345 betroffen. Die Sicherheitsl\u00fccke wurde mit der Ver\u00f6ffentlichung von Version 3.12.8 am 6. Juli 2026 behoben.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Wie dringend ist das Update auf Version 3.12.8?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Aufgrund des kritischen CVSS-Scores von 9.8 ist das Update als sehr dringend einzustufen. Angreifer k\u00f6nnen den ersten Schritt zur Kompromittierung \u2014 die Code-Injektion \u00fcber den <strong>postData<\/strong>-Parameter \u2014 ohne Authentifizierung durchf\u00fchren, da das ben\u00f6tigte Nonce-Token auf jeder \u00f6ffentlichen Funnel-Seite ausgegeben wird.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Wird die L\u00fccke CVE-2026-14345 bereits aktiv ausgenutzt?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Zum Zeitpunkt der Ver\u00f6ffentlichung dieses Artikels liegen laut Wordfence keine Berichte \u00fcber eine aktive Ausnutzung vor. Erfahrungsgem\u00e4\u00df beginnen Angreifer jedoch kurz nach Bekanntwerden kritischer L\u00fccken mit automatisierten Scans nach verwundbaren Systemen, weshalb eine unverz\u00fcgliche Aktualisierung empfohlen wird.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n<div id=\"cve-check\" style=\"scroll-margin-top:100px\"><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"en\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/en\/cve-2026-14345\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: block; width: 100%; height: 50px; border: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 50px; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Critical RCE vulnerability (CVSS 9.8) in the WordPress plugin WPFunnels: CVE-2026-14345 allows unauthenticated code execution. Update to version 3.12.8.<\/p>","protected":false},"author":13,"featured_media":9107,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[632],"tags":[718,260,719,92,329,113,115,357,327,717],"class_list":["post-9108","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-news","tag-cve-2026-14345","tag-cvss-9-8","tag-drittanbieter-risiko","tag-easm","tag-plugin-sicherheit","tag-rce","tag-schwachstelle","tag-woocommerce","tag-wordpress","tag-wpfunnels"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345)<\/title>\n<meta name=\"description\" content=\"Kritische RCE-L\u00fccke (CVSS 9.8) im WordPress-Plugin WPFunnels: CVE-2026-14345 erlaubt unauthentifizierte Codeausf\u00fchrung. Update auf 3.12.8 einspielen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/en\/cve-2026-14345\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345)\" \/>\n<meta property=\"og:description\" content=\"Kritische RCE-L\u00fccke (CVSS 9.8) im WordPress-Plugin WPFunnels: CVE-2026-14345 erlaubt unauthentifizierte Codeausf\u00fchrung. Update auf 3.12.8 einspielen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/en\/cve-2026-14345\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-07T07:41:56+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T12:28:27+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)\",\"datePublished\":\"2026-07-07T07:41:56+00:00\",\"dateModified\":\"2026-07-08T12:28:27+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/\"},\"wordCount\":905,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-14345-featured.png\",\"keywords\":[\"CVE-2026-14345\",\"CVSS 9.8\",\"Drittanbieter-Risiko\",\"EASM\",\"Plugin-Sicherheit\",\"RCE\",\"Schwachstelle\",\"WooCommerce\",\"WordPress\",\"WPFunnels\"],\"articleSection\":[\"Cybersecurity News\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/\",\"name\":\"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345)\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-14345-featured.png\",\"datePublished\":\"2026-07-07T07:41:56+00:00\",\"dateModified\":\"2026-07-08T12:28:27+00:00\",\"description\":\"Kritische RCE-L\u00fccke (CVSS 9.8) im WordPress-Plugin WPFunnels: CVE-2026-14345 erlaubt unauthentifizierte Codeausf\u00fchrung. Update auf 3.12.8 einspielen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-14345-featured.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/cve-2026-14345-featured.png\",\"width\":400,\"height\":400,\"caption\":\"CVE-2026-14345: Kritische RCE-L\u00fccke in WordPress-Plugin WPFunnels\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-14345\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"WPFunnels: Critical RCE Vulnerability (CVE-2026-14345)","description":"Critical RCE vulnerability (CVSS 9.8) in the WordPress plugin WPFunnels: CVE-2026-14345 allows unauthenticated code execution. Update to version 3.12.8.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/en\/cve-2026-14345\/","og_locale":"en_US","og_type":"article","og_title":"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345)","og_description":"Kritische RCE-L\u00fccke (CVSS 9.8) im WordPress-Plugin WPFunnels: CVE-2026-14345 erlaubt unauthentifizierte Codeausf\u00fchrung. Update auf 3.12.8 einspielen.","og_url":"https:\/\/locaterisk.com\/en\/cve-2026-14345\/","og_site_name":"LocateRisk","article_published_time":"2026-07-07T07:41:56+00:00","article_modified_time":"2026-07-08T12:28:27+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Kristina Hoinkis","Est. reading time":"4 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)","datePublished":"2026-07-07T07:41:56+00:00","dateModified":"2026-07-08T12:28:27+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/"},"wordCount":905,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","keywords":["CVE-2026-14345","CVSS 9.8","Drittanbieter-Risiko","EASM","Plugin-Sicherheit","RCE","Schwachstelle","WooCommerce","WordPress","WPFunnels"],"articleSection":["Cybersecurity News"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/","url":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/","name":"WPFunnels: Critical RCE Vulnerability (CVE-2026-14345)","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","datePublished":"2026-07-07T07:41:56+00:00","dateModified":"2026-07-08T12:28:27+00:00","description":"Critical RCE vulnerability (CVSS 9.8) in the WordPress plugin WPFunnels: CVE-2026-14345 allows unauthenticated code execution. Update to version 3.12.8.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/cve-2026-14345\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","width":400,"height":400,"caption":"CVE-2026-14345: Kritische RCE-L\u00fccke in WordPress-Plugin WPFunnels"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/cve-2026-14345\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"WPFunnels: Kritische RCE-L\u00fccke (CVE-2026-14345, CVSS 9.8)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"Measure and compare IT security","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/comments?post=9108"}],"version-history":[{"count":5,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9108\/revisions"}],"predecessor-version":[{"id":9153,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/9108\/revisions\/9153"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media\/9107"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media?parent=9108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/categories?post=9108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/tags?post=9108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}