WordPress (Patchstack) Seite 3
Schwachstellen-Reports
151 ReportsZeige 101 bis 150 von 151
-
WordPress Word Replacer Plugin – Stored XSS via replacement-Parameter
CVE-2026-3620 MittelDas WordPress-Plugin Word Replacer ist in allen Versionen bis einschliesslich 0.4 anfällig für Stored Cross-Site Scripting über den Parameter „replacement”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 4.4 EPSS: 0.07% Publiziert: Referenz: NVD -
WordPress LearnPress – Offenlegung sensibler Informationen
CVE-2026-8502 MittelDas WordPress-Plugin LearnPress (LMS für Onlinekurse) ist in allen Versionen bis einschliesslich 4.3.6 für eine Offenlegung sensibler Informationen anfällig. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 5.3 EPSS: 0.07% Publiziert: Referenz: NVD -
Debug Log Manager (WordPress): Unzureichende Ausgabemaskierung in Logs
CVE-2026-9016 MittelDas WordPress-Plugin „Debug Log Manager – Conveniently Monitor and Inspect Errors" ist in allen Versionen bis einschliesslich 2.5.0 durch eine unzureichende Neutralisierung der Ausgabe in Logdateien verwundbar. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine fehlerbereinigte Version nach 2.5.0 aktualisieren.
CVSS: 5.3 EPSS: 0.06% Publiziert: Referenz: NVD -
WordPress-Plugin EmbedPress: Stored XSS über das 'url'-Attribut
CVE-2026-7796 MittelDas WordPress-Plugin EmbedPress (PDF Embedder, PDF-Viewer, YouTube-Videos, 3D-FlipBook, Social Feeds u. a.) ist über das Attribut 'url' des Blocks für Stored Cross-Site-Scripting anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 6.4 EPSS: 0.06% Publiziert: Referenz: NVD -
WordPress ZeM STL Plugin – Stored XSS via Shortcode
CVE-2026-4081 MittelDas WordPress-Plugin „ZeM STL” ist in allen Versionen bis einschliesslich 1.0 anfällig für Stored Cross-Site Scripting über den Shortcode [zemstl] aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.4 EPSS: 0.06% Publiziert: Referenz: NVD -
WordPress Essential Addons for Elementor – Information Exposure
CVE-2026-7665 MittelDas WordPress-Plugin „Essential Addons for Elementor“ ist in allen Versionen bis einschließlich 6.6.4 über die Funktion ajax_load_more anfällig für eine Information Exposure. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 5.3 EPSS: 0.06% Publiziert: Referenz: NVD -
WordPress Photo Gallery by 10Web: Zeitbasierte SQL-Injection
CVE-2026-9829 MittelDas Plugin „Photo Gallery by 10Web – Mobile-Friendly Image Gallery" für WordPress ist über den Shortcode-Parameter 'compact_album_order_by' für zeitbasierte SQL-Injection anfällig. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.5 EPSS: 0.05% Publiziert: Referenz: NVD -
CVE-2026-2500 – Path Traversal im Quick-Playground-Plugin (WordPress)
CVE-2026-2500 MittelDas WordPress-Plugin Quick Playground ist in allen Versionen bis einschliesslich 1.3.4 anfällig für Path Traversal, weil die Funktion qckply_data() einen vom Benutzer gelieferten Dateinamen ungeprüft weiterverarbeitet. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress Master Addons für Elementor: Stored XSS
CVE-2026-9281 MittelDas Plugin Master Addons For Elementor für WordPress ist über die Seiteneinstellung 'jtlma_custom_js' anfällig für gespeichertes Cross-Site-Scripting (Stored XSS). Dadurch lassen sich bösartige Skripte dauerhaft in Seiten einbetten. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Plugin-Version aktualisieren.
CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress Easy Cart Plugin – Stored XSS via Shortcode
CVE-2026-4080 MittelDas WordPress-Plugin „Easy Cart” ist in allen Versionen bis einschliesslich 1.8 anfällig für Stored Cross-Site Scripting über den Shortcode „add_to_cart” aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress Charitable: IDOR / Autorisierungsumgehung
CVE-2026-10038 MittelDas WordPress-Plugin Charitable – Donation Plugin ist über eine Insecure Direct Object Reference (IDOR) bzw. Autorisierungsumgehung angreifbar. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence) und WordPress (WPScan). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress-Plugin Click to Chat – WA Widget – Stored XSS über [chat]-Shortcode
CVE-2026-7795 MittelDas WordPress-Plugin 'Click to Chat – WA Widget' ist über den 'num'-Parameter des [chat]-Shortcodes für Stored Cross-Site Scripting anfällig. Betroffen sind alle Versionen bis einschliesslich 4.38, Ursache ist eine unzureichende Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD -
CVE-2026-6448 – Blind SQL Injection im QSM-Plugin (WordPress)
CVE-2026-6448 MittelDas WordPress-Plugin Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker ist in allen Versionen bis einschliesslich 11.1 über den Parameter 'order' anfällig für eine zeitbasierte Blind-SQL-Injection. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.9 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress WPForms: Unzureichende Prüfung der Datenauthentizität
CVE-2026-7792 MittelDas WordPress-Plugin WPForms – Easy Form Builder ist über eine unzureichende Prüfung der Datenauthentizität angreifbar. Betroffen sind Versionen bis einschliesslich der genannten Fassung. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Phoenix Contact. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD -
CVE-2026-8991 – Stored XSS im Drag-and-Drop-Upload-Plugin (WordPress)
CVE-2026-8991 MittelDas WordPress-Plugin Drag and Drop Multiple File Upload for Contact Form 7 ist über die Einstellungen 'drag_n_drop_text' und 'drag_n_drop_browse_text' in allen betroffenen Versionen anfällig für Stored Cross-Site-Scripting. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress-Plugin Alba Board: Autorisierungsumgehung
CVE-2026-7523 MittelDas WordPress-Plugin Alba Board ist in allen Versionen bis einschliesslich 2.1.3 für eine Autorisierungsumgehung anfällig, weil das Plugin nicht ordnungsgemäss prüft, ob ein Benutzer für eine Aktion berechtigt ist. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress Squirrly SEO: Autorisierungsumgehung (bis Version 12.4.16)
CVE-2026-7624 MittelDas WordPress-Plugin „SEO Plugin by Squirrly SEO“ ist bis einschliesslich Version 12.4.16 anfällig für eine Autorisierungsumgehung, da das Plugin die Berechtigung eines Nutzers nicht korrekt prüft. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine Version nach 12.4.16 aktualisieren.
CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress-Plugin Feedzy RSS Aggregator: Authorization-Bypass
CVE-2026-8976 MittelDas WordPress-Plugin „RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator" ist in allen Versionen bis einschließlich 5.1.7 für eine Autorisierungsumgehung anfällig. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 5.1.7 aktualisieren.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Passeum Ticketing Plugin – Stored XSS
CVE-2026-7421 MittelDas WordPress-Plugin „Passeum Ticketing” ist in allen Versionen bis einschliesslich 1.0 anfällig für Stored Cross-Site Scripting, da die Methode get_shop_url() den Wert shop_name ohne ausreichende Bereinigung ausgibt. CVSS-Basiswert: 4.4 (Mittel).
CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Simple SEO Slideshow: Stored Cross-Site-Scripting (≤ 1.2.8)
CVE-2026-8900 MittelDas Plugin „Simple SEO Slideshow" für WordPress ist bis einschliesslich Version 1.2.8 aufgrund unzureichender Eingabebereinigung über Shortcode-Attribute für gespeichertes Cross-Site-Scripting (Stored XSS) anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
CVE-2026-8611 – Insecure Direct Object Reference im Klamra-Paycal-Plugin (WordPress)
CVE-2026-8611 MittelDas Plugin „Klamra Paycal for Aspaclaria“ für WordPress ist in allen Versionen bis einschliesslich 1.1.4 über den Parameter `invoice_id` für eine Insecure Direct Object Reference anfällig, da eine Validierung fehlt. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Page-list Plugin: Fehlende Autorisierung (bis Version 6.2)
CVE-2026-9008 MittelDas Plugin Page-list für WordPress ist bis einschliesslich Version 6.2 durch eine fehlende Autorisierung (Missing Authorization) in der Funktion pagelist_unqprfx_ext_shortcode() verwundbar (Shortcode [pagelist_ext]). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin „JTL-Connector for WooCommerce” – fehlende Autorisierung
CVE-2026-9234 MittelDas WordPress-Plugin „JTL-Connector for WooCommerce” ist in allen Versionen bis einschliesslich 2.4.1 anfällig für fehlende Autorisierung aufgrund unzureichender Berechtigungsprüfungen und Nonce-Verifizierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin „Express Payment For Stripe": Stored XSS über Shortcode-Attribut
CVE-2026-8893 MittelDas WordPress-Plugin „Express Payment For Stripe" ist bis einschliesslich Version 1.28.0 über das `type`-Attribut des `[stripe-express]`-Shortcodes anfällig für persistentes Cross-Site-Scripting (Stored XSS). CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Popup Builder: Persistentes Cross-Site-Scripting (post_title)
CVE-2019-25744 MittelWordPress Popup Builder 3.49 enthält eine persistente Cross-Site-Scripting-Schwachstelle, über die authentifizierte Angreifer bösartige Skripte einschleusen können, indem sie aus Options-Tags im Parameter post_title ausbrechen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Soliloquy Lite 2.5.6: Persistentes Cross-Site-Scripting
CVE-2019-25743 MittelWordPress Soliloquy Lite 2.5.6 enthält eine persistente Cross-Site-Scripting-Schwachstelle, über die authentifizierte Angreifer durch Einfügen von Script-Tags im Feld für den Beitragstitel schädliche Skripte einschleusen können. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Theme Zoner Real Estate: Persistentes XSS
CVE-2019-25742 MittelDas WordPress-Theme Zoner Real Estate 4.1.1 enthält eine persistente Cross-Site-Scripting-Schwachstelle. Authentifizierte Nutzer können über das Adress-Eingabefeld beim Erstellen von Einträgen bösartige Skripte einschleusen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Theme-Version aktualisieren.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress FPW Category Thumbnails Plugin – Stored XSS via AJAX-Aktion
CVE-2026-2382 MittelDas WordPress-Plugin FPW Category Thumbnails ist in allen Versionen bis einschliesslich 1.9.5 anfällig für Stored Cross-Site Scripting über den Parameter „id” der AJAX-Aktion „fpw_fs_get_file”. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Auto Image Attributes Plugin – Stored XSS
CVE-2026-3722 MittelDas WordPress-Plugin „Auto Image Attributes From Filename With Bulk Updater” weist eine Stored-Cross-Site-Scripting-Lücke auf, die über manipulierte Attachment-Metadaten ausgelöst werden kann. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Tiled Gallery Carousel Without JetPack – Stored XSS
CVE-2026-5191 MittelDas WordPress-Plugin „Tiled Gallery Carousel Without JetPack” ist in allen Versionen bis einschliesslich 3.1 anfällig für Stored Cross-Site Scripting über den Parameter „data-image-title” aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin „DeMomentSomTres Shortcodes” – Stored Cross-Site Scripting
CVE-2026-8885 MittelDas WordPress-Plugin „DeMomentSomTres Shortcodes” ist in allen Versionen bis einschliesslich 1.1.1 anfällig für Stored Cross-Site Scripting über den Shortcode „callout” infolge unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress WP Nano AD Plugin – Stored XSS via blogrole_link
CVE-2025-5085 MittelDas WordPress-Plugin WP Nano AD ist in allen Versionen bis einschliesslich 1.31 anfällig für Stored Cross-Site Scripting über den Parameter „blogrole_link”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.5 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress MasterStudy LMS Pro Plus: SQL-Injection über 'columns'-Parameter
CVE-2026-8653 MittelDas WordPress-Plugin MasterStudy LMS Pro Plus ist bis einschliesslich Version 4.8.20 für eine SQL-Injection über den Parameter 'columns' anfällig. Ursache ist eine unzureichende Maskierung der Nutzereingabe. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine Version nach 4.8.20 aktualisieren.
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress Simple Custom Login Page Plugin – Stored XSS in Farbeinstellungen
CVE-2026-10100 MittelDas WordPress-Plugin Simple Custom Login Page weist in den Farbeinstellungsfeldern (Seitenhintergrund, Formularhintergrund, Textfarbe, Linkfarbe) eine Stored-XSS-Schwachstelle auf. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin „Slider Revolution” – Unberechtigte Datenmodifikation
CVE-2026-9050 MittelDas WordPress-Plugin „Slider Revolution” ist in den Versionen 6.0.0–6.7.55 sowie 7.0.0–7.0.14 anfällig für unberechtigte Datenmodifikation, da das Plugin die Benutzerberechtigungen nicht korrekt prüft. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
OptinCraft (WordPress): SQL-Injection über den Parameter order_by
CVE-2026-8978 MittelDas WordPress-Plugin „OptinCraft – Drag & Drop Optins & Popup Builder" ist in allen Versionen bis einschliesslich 1.2.0 durch eine generische SQL-Injection über den Parameter „order_by" verwundbar. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine fehlerbereinigte Version nach 1.2.0 aktualisieren.
CVSS: 4.9 EPSS: 0.03% Publiziert: Referenz: NVD -
Stored XSS im WordPress-Plugin WP Maps
CVE-2026-9594 MittelDas WordPress-Plugin WP Maps (Google Maps, OpenStreetMap, Mapbox, Store Locator, Listing, Directory & Filters) ist über den Parameter location_messages anfällig für Stored Cross-Site-Scripting. Betroffen sind laut Quelle alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin „Slider Revolution” – Offenlegung sensibler Informationen
CVE-2026-9048 MittelDas WordPress-Plugin „Slider Revolution” ist in den Versionen 7.0.0 bis 7.0.14 anfällig für die Offenlegung sensibler Informationen über die AJAX-Aktion „slider.get.full”. Authentifizierten Angreifern ist es dadurch möglich, auf geschützte Daten zuzugreifen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress-Plugin Event Monster – Unzureichende Prüfung der Datenauthentizität
CVE-2026-8608 MittelDas WordPress-Plugin Event Monster (Event Management, Events Calendar, Tickets) ist bis einschliesslich Version 2.1.0 anfällig für eine unzureichende Verifizierung der Datenauthentizität. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine bereinigte Version aktualisieren.
CVSS: 5.3 EPSS: 0.02% Publiziert: Referenz: NVD -
WordPress-Plugin Frontend User Notes: Cross-Site Request Forgery (CSRF)
CVE-2026-7047 MittelDas WordPress-Plugin Frontend User Notes ist in allen Versionen bis einschliesslich 2.1.1 für Cross-Site Request Forgery (CSRF) anfällig. Ursache ist eine fehlende oder fehlerhafte Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin „Remove meta boxes per user role” – Cross-Site Request Forgery
CVE-2026-8422 MittelDas WordPress-Plugin „Remove meta boxes per user role” ist in allen Versionen bis einschliesslich 1.01 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin LatePoint: Cross-Site Request Forgery (CSRF)
CVE-2026-9719 MittelDas WordPress-Plugin LatePoint – Calendar Booking Plugin for Appointments and Events ist in allen Versionen bis einschliesslich 5.6.0 für Cross-Site Request Forgery (CSRF) anfällig. Ursache ist eine fehlende Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress BirdSeed Plugin – Cross-Site Request Forgery
CVE-2026-4071 MittelDas WordPress-Plugin „BirdSeed” ist in allen Versionen bis einschliesslich 2.2.0 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender Nonce-Validierung in der Funktion birdseed_plugin_settings_page(). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin „EmergencyWP” – Cross-Site Request Forgery
CVE-2026-9732 MittelDas WordPress-Plugin „EmergencyWP – Dead Man's switch & legacy deliverance” ist in allen Versionen bis einschliesslich 1.4.2 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel).
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin „Tectite Forms” – Cross-Site Request Forgery
CVE-2026-9599 MittelDas WordPress-Plugin „Tectite Forms” ist in allen Versionen bis einschliesslich 1.3 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung in der Funktion „admin_init”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin „Laiser Tag” – Cross-Site Request Forgery
CVE-2026-9722 MittelDas WordPress-Plugin „Laiser Tag” ist in allen Versionen bis einschliesslich 1.2.5 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung in der Funktion „addOptionsPageF”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Cross-Site Request Forgery im WordPress-Plugin „Google Plus One Bottom”
CVE-2026-9723 MittelDas WordPress-Plugin „Google Plus One Bottom” weist in allen Versionen bis einschliesslich 0.0.2 eine Cross-Site-Request-Forgery-Schwachstelle auf, verursacht durch fehlende oder fehlerhafte Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
WordPress-Plugin „Remove NoFollow Commenter URL” – Cross-Site Request Forgery
CVE-2026-9730 MittelDas WordPress-Plugin „Remove NoFollow Commenter URL” ist in allen Versionen bis einschliesslich 1.0 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Academy LMS (WordPress-Plugin): Insecure Direct Object Reference bis Version 3.8.0
CVE-2026-9341 MittelDas WordPress-Plugin „Academy LMS“ (LMS-Plugin für E-Learning-Lösungen) ist in allen Versionen bis einschliesslich 3.8.0 für eine Insecure Direct Object Reference (IDOR) anfällig. Als Quellen sind WordPress-Advisories von Patchstack, Wordfence und WPScan ausgewiesen. CVSS-Basiswert: 4.3 (Mittel). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt nicht in den Quelldaten vor.
CVSS: 4.3 Publiziert: Referenz: NVD -
WordPress ARMember Premium Plugin – SQL Injection (sSortDir_0-Parameter)
CVE-2026-5074 MittelDas WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 anfällig für SQL-Injection über den Parameter „sSortDir_0” der AJAX-Aktion „get_private_content_data”. CVSS-Basiswert: 6.5 (Mittel).
CVSS: 6.5 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für WordPress (Patchstack), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.