1.8 Aktiv ausgenutzte Lücken
CMS & Web-Ecosystems

WordPress (Patchstack) Seite 3

CMS & Web-Ecosystems
151
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

151 Reports

Zeige 101 bis 150 von 151

  1. WordPress Word Replacer Plugin – Stored XSS via replacement-Parameter

    CVE-2026-3620 Mittel

    Das WordPress-Plugin Word Replacer ist in allen Versionen bis einschliesslich 0.4 anfällig für Stored Cross-Site Scripting über den Parameter „replacement”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 4.4 EPSS: 0.07% Publiziert: Referenz: NVD
  2. WordPress LearnPress – Offenlegung sensibler Informationen

    CVE-2026-8502 Mittel

    Das WordPress-Plugin LearnPress (LMS für Onlinekurse) ist in allen Versionen bis einschliesslich 4.3.6 für eine Offenlegung sensibler Informationen anfällig. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.3 EPSS: 0.07% Publiziert: Referenz: NVD
  3. Debug Log Manager (WordPress): Unzureichende Ausgabemaskierung in Logs

    CVE-2026-9016 Mittel

    Das WordPress-Plugin „Debug Log Manager – Conveniently Monitor and Inspect Errors" ist in allen Versionen bis einschliesslich 2.5.0 durch eine unzureichende Neutralisierung der Ausgabe in Logdateien verwundbar. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine fehlerbereinigte Version nach 2.5.0 aktualisieren.

    CVSS: 5.3 EPSS: 0.06% Publiziert: Referenz: NVD
  4. WordPress-Plugin EmbedPress: Stored XSS über das 'url'-Attribut

    CVE-2026-7796 Mittel

    Das WordPress-Plugin EmbedPress (PDF Embedder, PDF-Viewer, YouTube-Videos, 3D-FlipBook, Social Feeds u. a.) ist über das Attribut 'url' des Blocks für Stored Cross-Site-Scripting anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 6.4 EPSS: 0.06% Publiziert: Referenz: NVD
  5. WordPress ZeM STL Plugin – Stored XSS via Shortcode

    CVE-2026-4081 Mittel

    Das WordPress-Plugin „ZeM STL” ist in allen Versionen bis einschliesslich 1.0 anfällig für Stored Cross-Site Scripting über den Shortcode [zemstl] aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.4 EPSS: 0.06% Publiziert: Referenz: NVD
  6. WordPress Essential Addons for Elementor – Information Exposure

    CVE-2026-7665 Mittel

    Das WordPress-Plugin „Essential Addons for Elementor“ ist in allen Versionen bis einschließlich 6.6.4 über die Funktion ajax_load_more anfällig für eine Information Exposure. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.3 EPSS: 0.06% Publiziert: Referenz: NVD
  7. WordPress Photo Gallery by 10Web: Zeitbasierte SQL-Injection

    CVE-2026-9829 Mittel

    Das Plugin „Photo Gallery by 10Web – Mobile-Friendly Image Gallery" für WordPress ist über den Shortcode-Parameter 'compact_album_order_by' für zeitbasierte SQL-Injection anfällig. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.5 EPSS: 0.05% Publiziert: Referenz: NVD
  8. CVE-2026-2500 – Path Traversal im Quick-Playground-Plugin (WordPress)

    CVE-2026-2500 Mittel

    Das WordPress-Plugin Quick Playground ist in allen Versionen bis einschliesslich 1.3.4 anfällig für Path Traversal, weil die Funktion qckply_data() einen vom Benutzer gelieferten Dateinamen ungeprüft weiterverarbeitet. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD
  9. WordPress Master Addons für Elementor: Stored XSS

    CVE-2026-9281 Mittel

    Das Plugin Master Addons For Elementor für WordPress ist über die Seiteneinstellung 'jtlma_custom_js' anfällig für gespeichertes Cross-Site-Scripting (Stored XSS). Dadurch lassen sich bösartige Skripte dauerhaft in Seiten einbetten. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Plugin-Version aktualisieren.

    CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD
  10. WordPress Easy Cart Plugin – Stored XSS via Shortcode

    CVE-2026-4080 Mittel

    Das WordPress-Plugin „Easy Cart” ist in allen Versionen bis einschliesslich 1.8 anfällig für Stored Cross-Site Scripting über den Shortcode „add_to_cart” aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD
  11. WordPress Charitable: IDOR / Autorisierungsumgehung

    CVE-2026-10038 Mittel

    Das WordPress-Plugin Charitable – Donation Plugin ist über eine Insecure Direct Object Reference (IDOR) bzw. Autorisierungsumgehung angreifbar. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence) und WordPress (WPScan). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD
  12. WordPress-Plugin Click to Chat – WA Widget – Stored XSS über [chat]-Shortcode

    CVE-2026-7795 Mittel

    Das WordPress-Plugin 'Click to Chat – WA Widget' ist über den 'num'-Parameter des [chat]-Shortcodes für Stored Cross-Site Scripting anfällig. Betroffen sind alle Versionen bis einschliesslich 4.38, Ursache ist eine unzureichende Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD
  13. CVE-2026-6448 – Blind SQL Injection im QSM-Plugin (WordPress)

    CVE-2026-6448 Mittel

    Das WordPress-Plugin Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker ist in allen Versionen bis einschliesslich 11.1 über den Parameter 'order' anfällig für eine zeitbasierte Blind-SQL-Injection. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.04% Publiziert: Referenz: NVD
  14. WordPress WPForms: Unzureichende Prüfung der Datenauthentizität

    CVE-2026-7792 Mittel

    Das WordPress-Plugin WPForms – Easy Form Builder ist über eine unzureichende Prüfung der Datenauthentizität angreifbar. Betroffen sind Versionen bis einschliesslich der genannten Fassung. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Phoenix Contact. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD
  15. CVE-2026-8991 – Stored XSS im Drag-and-Drop-Upload-Plugin (WordPress)

    CVE-2026-8991 Mittel

    Das WordPress-Plugin Drag and Drop Multiple File Upload for Contact Form 7 ist über die Einstellungen 'drag_n_drop_text' und 'drag_n_drop_browse_text' in allen betroffenen Versionen anfällig für Stored Cross-Site-Scripting. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD
  16. WordPress-Plugin Alba Board: Autorisierungsumgehung

    CVE-2026-7523 Mittel

    Das WordPress-Plugin Alba Board ist in allen Versionen bis einschliesslich 2.1.3 für eine Autorisierungsumgehung anfällig, weil das Plugin nicht ordnungsgemäss prüft, ob ein Benutzer für eine Aktion berechtigt ist. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD
  17. WordPress Squirrly SEO: Autorisierungsumgehung (bis Version 12.4.16)

    CVE-2026-7624 Mittel

    Das WordPress-Plugin „SEO Plugin by Squirrly SEO“ ist bis einschliesslich Version 12.4.16 anfällig für eine Autorisierungsumgehung, da das Plugin die Berechtigung eines Nutzers nicht korrekt prüft. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine Version nach 12.4.16 aktualisieren.

    CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD
  18. WordPress-Plugin Feedzy RSS Aggregator: Authorization-Bypass

    CVE-2026-8976 Mittel

    Das WordPress-Plugin „RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator" ist in allen Versionen bis einschließlich 5.1.7 für eine Autorisierungsumgehung anfällig. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 5.1.7 aktualisieren.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  19. WordPress Passeum Ticketing Plugin – Stored XSS

    CVE-2026-7421 Mittel

    Das WordPress-Plugin „Passeum Ticketing” ist in allen Versionen bis einschliesslich 1.0 anfällig für Stored Cross-Site Scripting, da die Methode get_shop_url() den Wert shop_name ohne ausreichende Bereinigung ausgibt. CVSS-Basiswert: 4.4 (Mittel).

    CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD
  20. WordPress Simple SEO Slideshow: Stored Cross-Site-Scripting (≤ 1.2.8)

    CVE-2026-8900 Mittel

    Das Plugin „Simple SEO Slideshow" für WordPress ist bis einschliesslich Version 1.2.8 aufgrund unzureichender Eingabebereinigung über Shortcode-Attribute für gespeichertes Cross-Site-Scripting (Stored XSS) anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  21. CVE-2026-8611 – Insecure Direct Object Reference im Klamra-Paycal-Plugin (WordPress)

    CVE-2026-8611 Mittel

    Das Plugin „Klamra Paycal for Aspaclaria“ für WordPress ist in allen Versionen bis einschliesslich 1.1.4 über den Parameter `invoice_id` für eine Insecure Direct Object Reference anfällig, da eine Validierung fehlt. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  22. WordPress Page-list Plugin: Fehlende Autorisierung (bis Version 6.2)

    CVE-2026-9008 Mittel

    Das Plugin Page-list für WordPress ist bis einschliesslich Version 6.2 durch eine fehlende Autorisierung (Missing Authorization) in der Funktion pagelist_unqprfx_ext_shortcode() verwundbar (Shortcode [pagelist_ext]). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  23. WordPress-Plugin „JTL-Connector for WooCommerce” – fehlende Autorisierung

    CVE-2026-9234 Mittel

    Das WordPress-Plugin „JTL-Connector for WooCommerce” ist in allen Versionen bis einschliesslich 2.4.1 anfällig für fehlende Autorisierung aufgrund unzureichender Berechtigungsprüfungen und Nonce-Verifizierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  24. WordPress-Plugin „Express Payment For Stripe": Stored XSS über Shortcode-Attribut

    CVE-2026-8893 Mittel

    Das WordPress-Plugin „Express Payment For Stripe" ist bis einschliesslich Version 1.28.0 über das `type`-Attribut des `[stripe-express]`-Shortcodes anfällig für persistentes Cross-Site-Scripting (Stored XSS). CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  25. WordPress Popup Builder: Persistentes Cross-Site-Scripting (post_title)

    CVE-2019-25744 Mittel

    WordPress Popup Builder 3.49 enthält eine persistente Cross-Site-Scripting-Schwachstelle, über die authentifizierte Angreifer bösartige Skripte einschleusen können, indem sie aus Options-Tags im Parameter post_title ausbrechen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  26. WordPress Soliloquy Lite 2.5.6: Persistentes Cross-Site-Scripting

    CVE-2019-25743 Mittel

    WordPress Soliloquy Lite 2.5.6 enthält eine persistente Cross-Site-Scripting-Schwachstelle, über die authentifizierte Angreifer durch Einfügen von Script-Tags im Feld für den Beitragstitel schädliche Skripte einschleusen können. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  27. WordPress-Theme Zoner Real Estate: Persistentes XSS

    CVE-2019-25742 Mittel

    Das WordPress-Theme Zoner Real Estate 4.1.1 enthält eine persistente Cross-Site-Scripting-Schwachstelle. Authentifizierte Nutzer können über das Adress-Eingabefeld beim Erstellen von Einträgen bösartige Skripte einschleusen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Theme-Version aktualisieren.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  28. WordPress FPW Category Thumbnails Plugin – Stored XSS via AJAX-Aktion

    CVE-2026-2382 Mittel

    Das WordPress-Plugin FPW Category Thumbnails ist in allen Versionen bis einschliesslich 1.9.5 anfällig für Stored Cross-Site Scripting über den Parameter „id” der AJAX-Aktion „fpw_fs_get_file”. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  29. WordPress Auto Image Attributes Plugin – Stored XSS

    CVE-2026-3722 Mittel

    Das WordPress-Plugin „Auto Image Attributes From Filename With Bulk Updater” weist eine Stored-Cross-Site-Scripting-Lücke auf, die über manipulierte Attachment-Metadaten ausgelöst werden kann. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  30. WordPress Tiled Gallery Carousel Without JetPack – Stored XSS

    CVE-2026-5191 Mittel

    Das WordPress-Plugin „Tiled Gallery Carousel Without JetPack” ist in allen Versionen bis einschliesslich 3.1 anfällig für Stored Cross-Site Scripting über den Parameter „data-image-title” aufgrund unzureichender Eingabebereinigung. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD
  31. WordPress-Plugin „DeMomentSomTres Shortcodes” – Stored Cross-Site Scripting

    CVE-2026-8885 Mittel

    Das WordPress-Plugin „DeMomentSomTres Shortcodes” ist in allen Versionen bis einschliesslich 1.1.1 anfällig für Stored Cross-Site Scripting über den Shortcode „callout” infolge unzureichender Eingabebereinigung. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.4 EPSS: 0.03% Publiziert: Referenz: NVD
  32. WordPress WP Nano AD Plugin – Stored XSS via blogrole_link

    CVE-2025-5085 Mittel

    Das WordPress-Plugin WP Nano AD ist in allen Versionen bis einschliesslich 1.31 anfällig für Stored Cross-Site Scripting über den Parameter „blogrole_link”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.5 EPSS: 0.03% Publiziert: Referenz: NVD
  33. WordPress MasterStudy LMS Pro Plus: SQL-Injection über 'columns'-Parameter

    CVE-2026-8653 Mittel

    Das WordPress-Plugin MasterStudy LMS Pro Plus ist bis einschliesslich Version 4.8.20 für eine SQL-Injection über den Parameter 'columns' anfällig. Ursache ist eine unzureichende Maskierung der Nutzereingabe. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine Version nach 4.8.20 aktualisieren.

    CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
  34. WordPress Simple Custom Login Page Plugin – Stored XSS in Farbeinstellungen

    CVE-2026-10100 Mittel

    Das WordPress-Plugin Simple Custom Login Page weist in den Farbeinstellungsfeldern (Seitenhintergrund, Formularhintergrund, Textfarbe, Linkfarbe) eine Stored-XSS-Schwachstelle auf. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD
  35. WordPress-Plugin „Slider Revolution” – Unberechtigte Datenmodifikation

    CVE-2026-9050 Mittel

    Das WordPress-Plugin „Slider Revolution” ist in den Versionen 6.0.0–6.7.55 sowie 7.0.0–7.0.14 anfällig für unberechtigte Datenmodifikation, da das Plugin die Benutzerberechtigungen nicht korrekt prüft. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  36. OptinCraft (WordPress): SQL-Injection über den Parameter order_by

    CVE-2026-8978 Mittel

    Das WordPress-Plugin „OptinCraft – Drag & Drop Optins & Popup Builder" ist in allen Versionen bis einschliesslich 1.2.0 durch eine generische SQL-Injection über den Parameter „order_by" verwundbar. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine fehlerbereinigte Version nach 1.2.0 aktualisieren.

    CVSS: 4.9 EPSS: 0.03% Publiziert: Referenz: NVD
  37. Stored XSS im WordPress-Plugin WP Maps

    CVE-2026-9594 Mittel

    Das WordPress-Plugin WP Maps (Google Maps, OpenStreetMap, Mapbox, Store Locator, Listing, Directory & Filters) ist über den Parameter location_messages anfällig für Stored Cross-Site-Scripting. Betroffen sind laut Quelle alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.4 EPSS: 0.03% Publiziert: Referenz: NVD
  38. WordPress-Plugin „Slider Revolution” – Offenlegung sensibler Informationen

    CVE-2026-9048 Mittel

    Das WordPress-Plugin „Slider Revolution” ist in den Versionen 7.0.0 bis 7.0.14 anfällig für die Offenlegung sensibler Informationen über die AJAX-Aktion „slider.get.full”. Authentifizierten Angreifern ist es dadurch möglich, auf geschützte Daten zuzugreifen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  39. WordPress-Plugin Event Monster – Unzureichende Prüfung der Datenauthentizität

    CVE-2026-8608 Mittel

    Das WordPress-Plugin Event Monster (Event Management, Events Calendar, Tickets) ist bis einschliesslich Version 2.1.0 anfällig für eine unzureichende Verifizierung der Datenauthentizität. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.02% Publiziert: Referenz: NVD
  40. WordPress-Plugin Frontend User Notes: Cross-Site Request Forgery (CSRF)

    CVE-2026-7047 Mittel

    Das WordPress-Plugin Frontend User Notes ist in allen Versionen bis einschliesslich 2.1.1 für Cross-Site Request Forgery (CSRF) anfällig. Ursache ist eine fehlende oder fehlerhafte Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  41. WordPress-Plugin „Remove meta boxes per user role” – Cross-Site Request Forgery

    CVE-2026-8422 Mittel

    Das WordPress-Plugin „Remove meta boxes per user role” ist in allen Versionen bis einschliesslich 1.01 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  42. WordPress-Plugin LatePoint: Cross-Site Request Forgery (CSRF)

    CVE-2026-9719 Mittel

    Das WordPress-Plugin LatePoint – Calendar Booking Plugin for Appointments and Events ist in allen Versionen bis einschliesslich 5.6.0 für Cross-Site Request Forgery (CSRF) anfällig. Ursache ist eine fehlende Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  43. WordPress BirdSeed Plugin – Cross-Site Request Forgery

    CVE-2026-4071 Mittel

    Das WordPress-Plugin „BirdSeed” ist in allen Versionen bis einschliesslich 2.2.0 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender Nonce-Validierung in der Funktion birdseed_plugin_settings_page(). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  44. WordPress-Plugin „EmergencyWP” – Cross-Site Request Forgery

    CVE-2026-9732 Mittel

    Das WordPress-Plugin „EmergencyWP – Dead Man's switch & legacy deliverance” ist in allen Versionen bis einschliesslich 1.4.2 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel).

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  45. WordPress-Plugin „Tectite Forms” – Cross-Site Request Forgery

    CVE-2026-9599 Mittel

    Das WordPress-Plugin „Tectite Forms” ist in allen Versionen bis einschliesslich 1.3 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung in der Funktion „admin_init”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  46. WordPress-Plugin „Laiser Tag” – Cross-Site Request Forgery

    CVE-2026-9722 Mittel

    Das WordPress-Plugin „Laiser Tag” ist in allen Versionen bis einschliesslich 1.2.5 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung in der Funktion „addOptionsPageF”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  47. Cross-Site Request Forgery im WordPress-Plugin „Google Plus One Bottom”

    CVE-2026-9723 Mittel

    Das WordPress-Plugin „Google Plus One Bottom” weist in allen Versionen bis einschliesslich 0.0.2 eine Cross-Site-Request-Forgery-Schwachstelle auf, verursacht durch fehlende oder fehlerhafte Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  48. WordPress-Plugin „Remove NoFollow Commenter URL” – Cross-Site Request Forgery

    CVE-2026-9730 Mittel

    Das WordPress-Plugin „Remove NoFollow Commenter URL” ist in allen Versionen bis einschliesslich 1.0 anfällig für Cross-Site Request Forgery (CSRF) aufgrund fehlender oder fehlerhafter Nonce-Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  49. Academy LMS (WordPress-Plugin): Insecure Direct Object Reference bis Version 3.8.0

    CVE-2026-9341 Mittel

    Das WordPress-Plugin „Academy LMS“ (LMS-Plugin für E-Learning-Lösungen) ist in allen Versionen bis einschliesslich 3.8.0 für eine Insecure Direct Object Reference (IDOR) anfällig. Als Quellen sind WordPress-Advisories von Patchstack, Wordfence und WPScan ausgewiesen. CVSS-Basiswert: 4.3 (Mittel). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt nicht in den Quelldaten vor.

    CVSS: 4.3 Publiziert: Referenz: NVD
  50. WordPress ARMember Premium Plugin – SQL Injection (sSortDir_0-Parameter)

    CVE-2026-5074 Mittel

    Das WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 anfällig für SQL-Injection über den Parameter „sSortDir_0” der AJAX-Aktion „get_private_content_data”. CVSS-Basiswert: 6.5 (Mittel).

    CVSS: 6.5 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für WordPress (Patchstack), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog