{"id":8602,"date":"2026-06-16T10:43:40","date_gmt":"2026-06-16T10:43:40","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=8602"},"modified":"2026-07-08T08:15:29","modified_gmt":"2026-07-08T08:15:29","slug":"cve-2026-49109","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/","title":{"rendered":"CVE-2026-49109 : faille critique dans un plugin WordPress pour Salesforce"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/fr\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce<\/h1>\r\n            <p class=\"paragraph\"><br>Laut Patchstack weist das WordPress-Plugin \u201eIntegration for Salesforce&#8220; eine kritische Schwachstelle mit einem <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/cf7-salesforce\/vulnerability\/wordpress-integration-for-salesforce-and-contact-form-7-wpforms-elementor-formidable-ninja-forms-plugin-1-4-3-php-object-injection-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">CVSS-Score von <strong>9.8<\/strong><\/a> auf. Die als <strong>CVE-2026-49109<\/strong> gef\u00fchrte L\u00fccke betrifft den Angaben zufolge alle Versionen bis einschlie\u00dflich 1.4.3 und erm\u00f6glicht Angreifern eine PHP Object Injection ohne jegliche Authentifizierung. Die Schwachstelle wurde bereits in Version 1.4.4 aus dem Jahr 2025 behoben, die CVE-Dokumentation erfolgte jedoch erst Mitte Juni 2026 \u00fcber Wordfence. Berichte \u00fcber eine aktive Ausnutzung der Schwachstelle lagen zum Zeitpunkt der Offenlegung nicht vor.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png\" alt=\"\" class=\"wp-image-8601\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\"><strong>Was ist passiert? Die Schwachstelle CVE-2026-49109 im Detail<\/strong><\/h2>\n\n\n\n<p>Mitte Juni 2026 dokumentierte der Sicherheitsdienstleister Patchstack eine kritische Sicherheitsl\u00fccke in einem weitverbreiteten WordPress-Plugin. Betroffen ist das Plugin <strong>cf7-salesforce<\/strong> des Herstellers <strong>crm-perks<\/strong>, das die Anbindung von Formularen wie Contact Form 7, WPForms, Elementor, Formidable oder Ninja Forms an Salesforce-Systeme erm\u00f6glicht. Laut den Angaben von Patchstack sind alle Versionen bis <strong><= 1.4.3<\/strong> verwundbar. Die Schwachstelle wird von Patchstack mit einem kritischen CVSS-Score von <strong>9.8<\/strong> bewertet, was auf ein sehr hohes Risikopotenzial hindeutet.<\/p>\n\n\n\n<p>Die besondere Gefahr von <strong>CVE-2026-49109<\/strong> liegt darin, dass sie von Angreifern aus der Ferne und ohne vorherige Anmeldung auf der betroffenen WordPress-Seite ausgenutzt werden kann. Dies \u00f6ffnet T\u00fcr und Tor f\u00fcr eine breite Palette von Angriffen. Die potenziellen Auswirkungen k\u00f6nnen je nach vorhandener POP-Chain von der L\u00f6schung von Dateien \u00fcber die Exfiltration sensibler Daten bis hin zur vollst\u00e4ndigen Server\u00fcbernahme durch Remote Code Execution reichen. Administratoren sollten umgehend auf Version 1.4.4 oder h\u00f6her aktualisieren, um ihre Systeme zu sch\u00fctzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Technischer Hintergrund: PHP Object Injection ohne Authentifizierung<\/strong><\/h2>\n\n\n\n<p>Der Kern der Schwachstelle <strong>CVE-2026-49109<\/strong> ist eine unsichere Deserialisierung von Eingabedaten, was zu einer PHP Object Injection f\u00fchrt. Vereinfacht ausgedr\u00fcckt, verarbeitet das Plugin von au\u00dfen kommende Daten, ohne deren Inhalt und Struktur ausreichend zu validieren. Angreifer k\u00f6nnen speziell pr\u00e4parierte Datenstr\u00f6me an das System senden, die beim Verarbeiten im Serverkontext als schadhafte Objekte interpretiert und ausgef\u00fchrt werden. Dieser Mechanismus erlaubt es, die Programmlogik zu manipulieren und Aktionen auszuf\u00fchren, die von den Entwicklern niemals vorgesehen waren.<\/p>\n\n\n\n<p>Der CVSS-Vektor laut Patchstack <strong>CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/strong> best\u00e4tigt die hohe Kritikalit\u00e4t. Die Kennung <strong>AV:N<\/strong> (Attack Vector: Network) bedeutet, dass der Angriff \u00fcber das Netzwerk erfolgen kann. <strong>PR:N<\/strong> (Privileges Required: None) unterstreicht, dass keine Zugangsdaten oder Benutzerrechte erforderlich sind. In Kombination mit der geringen Angriffskomplexit\u00e4t (<strong>AC:L<\/strong>) entsteht eine gef\u00e4hrliche Situation f\u00fcr jede \u00f6ffentlich erreichbare Website, die eine verwundbare Version des Plugins einsetzt. Durch die Ausnutzung sogenannter POP-Chains (Property-Oriented Programming) \u2014 sofern eine solche im Zielsystem vorhanden ist \u2014 k\u00f6nnen Angreifer vorhandene Code-Schnipsel im Speicher des Servers zu einer neuen Ausf\u00fchrungskette zusammensetzen und so potenziell beliebigen Code ausf\u00fchren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Welche Ma\u00dfnahmen sind jetzt f\u00fcr CVE-2026-49109 erforderlich?<\/strong><\/h2>\n\n\n\n<p>F\u00fcr die Schwachstelle <strong>CVE-2026-49109<\/strong> steht mit Version 1.4.4 (ver\u00f6ffentlicht 2025) ein Patch zur Verf\u00fcgung. Dennoch sind proaktive Schritte zur Risikominimierung notwendig, falls ein sofortiges Update nicht m\u00f6glich ist. Unternehmen sollten einen dreistufigen Ansatz verfolgen, um betroffene Systeme zu identifizieren und abzusichern.<\/p>\n\n\n\n<p><strong>Sofortma\u00dfnahmen:<\/strong> &#8211; <strong>Inventarisierung und Update:<\/strong> Der erste und wichtigste Schritt ist die \u00dcberpr\u00fcfung aller WordPress-Installationen auf das Vorhandensein des Plugins <strong>cf7-salesforce<\/strong>. Wird eine betroffene Version (<= 1.4.3) gefunden, muss umgehend auf Version 1.4.4 oder h\u00f6her aktualisiert werden. Ist ein sofortiges Update nicht m\u00f6glich, sollte das Plugin bis dahin deaktiviert werden. - <strong>Betroffenheit pr\u00fcfen:<\/strong> Stellen Sie sicher, dass alle externen und internen Web-Projekte in die Pr\u00fcfung einbezogen werden, auch Staging- oder Entwicklungs-Systeme.<\/p>\n\n\n\n<p><strong>Kurzfristige Absicherung:<\/strong> &#8211; <strong>Virtuelles Patching:<\/strong> Falls das Plugin aus betrieblichen Gr\u00fcnden nicht sofort aktualisiert oder deaktiviert werden kann, sollte eine Web Application Firewall (WAF) mit Regeln gegen PHP-Deserialisierungsangriffe konfiguriert werden. Dienste wie Patchstack bieten virtuelle Patches an, die als tempor\u00e4rer Schutzschild dienen k\u00f6nnen, indem sie sch\u00e4dliche Anfragen blockieren, bevor sie das verwundbare Plugin erreichen. &#8211; <strong>Systeme priorisieren:<\/strong> Identifizieren und priorisieren Sie Systeme, die besonders sensible Daten verarbeiten oder eine hohe gesch\u00e4ftliche Kritikalit\u00e4t aufweisen.<\/p>\n\n\n\n<p><strong>Langfristige Strategien:<\/strong> &#8211; <strong>Kontinuierliches Schwachstellen-Monitoring:<\/strong> Etablieren Sie Prozesse zur kontinuierlichen \u00dcberwachung der eingesetzten Softwarekomponenten; das Plugin-Inventar sollte regelm\u00e4\u00dfig mit Datenbanken wie WPScan oder Patchstack abgeglichen werden. &#8211; <strong>Vendor Risk Management:<\/strong> \u00dcberpr\u00fcfen Sie die Sicherheitspraktiken von Drittanbietern und Plugin-Herstellern, bevor deren Software im Unternehmen eingesetzt wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>DACH-Relevanz: Was EU-Unternehmen jetzt beachten m\u00fcssen<\/strong><\/h2>\n\n\n\n<p>F\u00fcr Unternehmen im DACH-Raum ergeben sich aus einem m\u00f6glichen Sicherheitsvorfall zus\u00e4tzliche Pflichten: Werden durch eine Kompromittierung personenbezogene Daten von EU-B\u00fcrgerinnen und -B\u00fcrgern betroffen, greift Artikel 33 DSGVO \u2014 mit einer Meldepflicht gegen\u00fcber der zust\u00e4ndigen Datenschutzbeh\u00f6rde innerhalb von 72 Stunden. Organisationen, die unter die NIS-2-Richtlinie fallen oder als KRITIS-Betreiber eingestuft sind, sollten zus\u00e4tzlich pr\u00fcfen, ob interne Melde- und Dokumentationspflichten ausgel\u00f6st werden. Das BSI empfiehlt generell, exponierte Web-Applikationen und deren Drittanbieter-Komponenten kontinuierlich zu inventarisieren und bei fehlenden Patches umgehend kompensierende Ma\u00dfnahmen einzuleiten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Wie LocateRisk bei der Absicherung von WordPress-Installationen hilft<\/strong><\/h2>\n\n\n\n<p>Vorf\u00e4lle wie die Schwachstelle <strong>CVE-2026-49109<\/strong> zeigen, dass das gr\u00f6\u00dfte Risiko oft von vergessenen oder nicht dokumentierten Systemen ausgeht. LocateRisk erfasst die gesamte externe Angriffsfl\u00e4che eines Unternehmens automatisiert und macht auch solche Schatten-IT sichtbar \u2014 WordPress-Installationen auf vergessenen Subdomains, nicht mehr aktiv betreuten Projekten oder unkatalogisierten Cloud-Assets eingeschlossen. Ein proaktiver Ansatz unterst\u00fctzt im <a href=\"https:\/\/locaterisk.com\/de\/landing\/vendor-risk-management-leicht-gemacht\/\" target=\"_blank\" rel=\"noreferrer noopener\">Vendor Risk Management<\/a>, um Abh\u00e4ngigkeiten von Drittanbieter-Software zu bewerten. Durch kontinuierliches Monitoring von au\u00dfen hilft die Plattform dabei, verwundbare WordPress-Installationen und andere exponierte Technologien fr\u00fchzeitig zu erkennen und das Risiko einer Ausnutzung zu reduzieren.<\/p>\n\n\n\n<p>Die L\u00f6sung ist <strong>Made in Germany<\/strong> und wird in deutschen Rechenzentren betrieben, was Unternehmen bei der Erf\u00fcllung ihrer DSGVO-Anforderungen unterst\u00fctzt. Anstatt auf manuelle Inventarlisten angewiesen zu sein, erhalten IT-Verantwortliche eine dynamische und stets aktuelle \u00dcbersicht aller extern erreichbaren Assets und k\u00f6nnen so schneller und gezielter auf kritische Schwachstellen reagieren.<\/p>\n\n\n\n<p><br><br>Quellen und weitere Infos<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/cf7-salesforce\/vulnerability\/wordpress-integration-for-salesforce-and-contact-form-7-wpforms-elementor-formidable-ninja-forms-plugin-1-4-3-php-object-injection-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">Patchstack<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/wpscan.com\/plugin\/cf7-salesforce\/\" target=\"_blank\" rel=\"noreferrer noopener\">WPScan<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-49109\" target=\"_blank\" rel=\"noreferrer noopener\">NVD\/NIST<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h2>\n\n\n\n<p>Eine kontinuierliche \u00dcberwachung Ihrer externen IT-Systeme ist der erste Schritt zur Abwehr von Angriffen. LocateRisk liefert Ihnen eine umfassende Analyse Ihrer digitalen Infrastruktur. <a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check starten<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche Versionen des Salesforce-Plugins sind von CVE-2026-49109 betroffen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Laut den Analysen von Patchstack sind alle Versionen des Plugins \u201eIntegration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms&#8220; bis einschlie\u00dflich der Version <strong>1.4.3<\/strong> von der Schwachstelle <strong>CVE-2026-49109<\/strong> betroffen. Es wird dringend empfohlen, die eingesetzte Version zu \u00fcberpr\u00fcfen.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Gibt es einen Patch f\u00fcr die Schwachstelle CVE-2026-49109?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Ein offizieller Patch vom Hersteller crm-perks ist mit Version 1.4.4 (ver\u00f6ffentlicht 2025) verf\u00fcgbar. Die empfohlene Sofortma\u00dfnahme ist das Update auf Version 1.4.4 oder h\u00f6her. Falls ein Update nicht sofort m\u00f6glich ist, sollte das Plugin deaktiviert werden.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Sind aktive Angriffe auf CVE-2026-49109 bekannt?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Laut Patchstack gab es zum Zeitpunkt der Ver\u00f6ffentlichung noch keine Berichte \u00fcber tats\u00e4chliche Angriffe auf die Schwachstelle CVE-2026-49109. Da die L\u00fccke jedoch ohne Authentifizierung aus der Ferne ausnutzbar ist, besteht dringender Handlungsbedarf: Das Update auf Version 1.4.4 oder h\u00f6her sollte umgehend installiert werden.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"fr\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: block; width: 100%; height: 50px; border: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 50px; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>La vuln\u00e9rabilit\u00e9 critique CVE-2026-49109 (CVSS 9,8) dans le plugin WordPress cf7-salesforce permet une injection d'objet PHP. Toutes les versions sont ant\u00e9rieures \u00e0 la version 1.4.3.\n<\/p>","protected":false},"author":13,"featured_media":8601,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[650,649,648,260,511,647,115,327],"class_list":["post-8602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogpost","tag-cf7-salesforce","tag-crm-perks","tag-cve-2026-49109","tag-cvss-9-8","tag-php-object-injection","tag-salesforce-plugin","tag-schwachstelle","tag-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk<\/title>\n<meta name=\"description\" content=\"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk\" \/>\n<meta property=\"og:description\" content=\"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-06-16T10:43:40+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T08:15:29+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce\",\"datePublished\":\"2026-06-16T10:43:40+00:00\",\"dateModified\":\"2026-07-08T08:15:29+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/\"},\"wordCount\":246,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-49109-featured.png\",\"keywords\":[\"cf7-salesforce\",\"crm-perks\",\"CVE-2026-49109\",\"CVSS 9.8\",\"PHP Object Injection\",\"Salesforce Plugin\",\"Schwachstelle\",\"WordPress\"],\"articleSection\":[\"Blog post\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/\",\"name\":\"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-49109-featured.png\",\"datePublished\":\"2026-06-16T10:43:40+00:00\",\"dateModified\":\"2026-07-08T08:15:29+00:00\",\"description\":\"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-49109-featured.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-49109-featured.png\",\"width\":400,\"height\":400,\"caption\":\"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-49109\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk","description":"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/","og_locale":"fr_FR","og_type":"article","og_title":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk","og_description":"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.","og_url":"https:\/\/locaterisk.com\/fr\/cve-2026-49109\/","og_site_name":"LocateRisk","article_published_time":"2026-06-16T10:43:40+00:00","article_modified_time":"2026-07-08T08:15:29+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"Kristina Hoinkis","Dur\u00e9e de lecture estim\u00e9e":"9 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce","datePublished":"2026-06-16T10:43:40+00:00","dateModified":"2026-07-08T08:15:29+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/"},"wordCount":246,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png","keywords":["cf7-salesforce","crm-perks","CVE-2026-49109","CVSS 9.8","PHP Object Injection","Salesforce Plugin","Schwachstelle","WordPress"],"articleSection":["Blog post"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/","url":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/","name":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce - LocateRisk","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png","datePublished":"2026-06-16T10:43:40+00:00","dateModified":"2026-07-08T08:15:29+00:00","description":"Kritische Schwachstelle CVE-2026-49109 (CVSS 9.8) im WordPress-Plugin cf7-salesforce erm\u00f6glicht PHP Object Injection. Alle Versionen &lt;= 1.4.3 sind.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/cve-2026-49109\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-49109-featured.png","width":400,"height":400,"caption":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/cve-2026-49109\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"CVE-2026-49109: Kritische L\u00fccke in WordPress-Plugin f\u00fcr Salesforce"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"Mesurer et comparer la s\u00e9curit\u00e9 informatique","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/8602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/comments?post=8602"}],"version-history":[{"count":7,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/8602\/revisions"}],"predecessor-version":[{"id":9134,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/8602\/revisions\/9134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/media\/8601"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/media?parent=8602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/categories?post=8602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/tags?post=8602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}