1.8 Aktiv ausgenutzte Lücken
CMS & Web-Ecosystems

WordPress (Wordfence)

CMS & Web-Ecosystems

WordPress (Wordfence) gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht WordPress (Wordfence) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.

151
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

151 Reports

Zeige 1 bis 50 von 151

  1. WordPress File Manager Plugin – Remote Code Execution

    CVE-2020-25213 Aktiv ausgenutzt

    Das WordPress-Plugin File Manager ermöglicht Angreifern die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.41% Publiziert: Referenz: CISA KEV
  2. WordPress Snap Creek Duplicator Plugin – Datei-Download

    CVE-2020-11738 Aktiv ausgenutzt

    Das WordPress-Plugin Snap Creek Duplicator enthält eine Schwachstelle, die einen nicht autorisierten Datei-Download ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.25% Publiziert: Referenz: CISA KEV
  3. WebPros cPanel & WHM / WP2 – Fehlende Authentifizierung für kritische Funktion

    CVE-2026-41940 Aktiv ausgenutzt Ransomware

    In WebPros cPanel & WHM sowie WP2 (WordPress Squared) wurde eine Schwachstelle durch fehlende Authentifizierung bei einer kritischen Funktion gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 90.8 %.

    EPSS: 90.76% Publiziert: Referenz: CISA KEV
  4. WordPress Social Warfare Plugin – Cross-Site Scripting (XSS)

    CVE-2019-9978 Aktiv ausgenutzt

    Das WordPress-Plugin Social Warfare weist eine Cross-Site-Scripting-Schwachstelle (XSS) auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 88.7 %.

    EPSS: 88.71% Publiziert: Referenz: CISA KEV
  5. WordPress Avada (Fusion) Builder – Beliebiges Löschen von Dateien

    CVE-2026-8713 Kritisch

    Das Avada-(Fusion-)Builder-Plugin für WordPress ist durch unzureichende Prüfung des Dateipfads in der Funktion maybe_delete_files für das beliebige Löschen von Dateien anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich der korrigierten Fassung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte korrigierte Version aktualisieren.

    CVSS: 9.1 EPSS: 1.19% Publiziert: Referenz: NVD
  6. WordPress-Plugin Blocksy Companion: Beliebiger Datei-Upload

    CVE-2026-15158 Kritisch

    Das WordPress-Plugin Blocksy Companion ist bis einschliesslich Version 2.1.46 für den Upload beliebiger Dateien anfällig. Ursache ist die Funktion save_attachments in der Custom-Fonts-Erweiterung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 2.1.46 aktualisieren.

    CVSS: 9.8 EPSS: 1.00% Publiziert: Referenz: NVD
  7. WordPress File-Manager-Plugins – kritische Schwachstelle in mehreren Erweiterungen

    CVE-2026-6382 Kritisch

    Mehrere WordPress-Datei-Manager-Plugins sind betroffen: FileOrganizer vor 1.1.9, Advanced File Manager vor 5.4.12, File Manager Pro vor 2.1.1 sowie File Manager vor 8.0.4. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: die betroffenen Plugins auf die jeweils korrigierte Version aktualisieren.

    CVSS: 9.1 EPSS: 0.90% Publiziert: Referenz: NVD
  8. BetterDocs Pro (WordPress): Local File Inclusion über den Parameter doc_style

    CVE-2026-7515 Kritisch

    Das WordPress-Plugin BetterDocs Pro ist über den Parameter doc_style für eine Local File Inclusion anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich 3.8.0; nicht authentifizierte Angreifer können die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.

    CVSS: 9.8 EPSS: 0.89% Publiziert: Referenz: NVD
  9. WordPress Background Image Cropper 1.2: Remote Code Execution über ups.php

    CVE-2024-58348 Kritisch

    Das WordPress-Plugin Background Image Cropper in Version 1.2 enthält eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können über den Endpunkt ups.php beliebige Dateien hochladen. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.84% Publiziert: Referenz: NVD
  10. WordPress-Plugin WPFunnels: Remote Code Execution

    CVE-2026-14345 Kritisch

    Das WordPress-Plugin WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell ist bis einschliesslich Version 3.12.7 für Remote Code Execution über den Parameter 'postData' anfällig. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 3.12.7 aktualisieren.

    CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD
  11. WordPress Instant Appointment: Upload beliebiger Dateien durch fehlende Typprüfung

    CVE-2026-15282 Kritisch

    Das WordPress-Plugin Instant Appointment erlaubt den Upload beliebiger Dateien, weil die Funktion insapp_upload_image_as_attachment den Dateityp nicht validiert. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der im NVD-Eintrag genannten. Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD
  12. WordPress Printcart Web to Print (WooCommerce): Beliebiges Löschen von Dateien

    CVE-2026-9725 Kritisch

    Das WordPress-Plugin Printcart Web to Print Product Designer for WooCommerce ist in Versionen bis einschliesslich 2.5.2 für das Löschen beliebiger Dateien anfällig. Ursache ist eine unzureichende Pfadvalidierung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine Version neuer als 2.5.2 aktualisieren.

    CVSS: 9.1 EPSS: 0.74% Publiziert: Referenz: NVD
  13. WordPress Simple Coherent Form: Löschen beliebiger Dateien

    CVE-2026-14487 Kritisch

    Das WordPress-Plugin Simple Coherent Form ist anfällig für das Löschen beliebiger Dateien. Ursache ist eine unzureichende Validierung des Dateipfads in der Funktion removeUploadDir; betroffen sind alle Versionen bis einschliesslich 2.x. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus, mit hoher Auswirkung auf Integrität und Verfügbarkeit. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 9.1 EPSS: 0.74% Publiziert: Referenz: NVD
  14. WordPress-Theme Travelscape 1.0.3: Arbitrary File Upload

    CVE-2024-58349 Kritisch

    Das WordPress-Theme Travelscape in Version 1.0.3 enthält eine Schwachstelle beim Datei-Upload. Durch unzureichende Validierung in der Upload-Funktion des Themes können nicht authentifizierte Angreifer beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 9.8 EPSS: 0.67% Publiziert: Referenz: NVD
  15. WordPress-Plugin Invoice Generator: Rechteausweitung über ungeschützte AJAX-Aktion

    CVE-2026-12415 Kritisch

    Das WordPress-Plugin Invoice Generator ist anfällig für eine Rechteausweitung, weil die AJAX-Aktion pravel_invoice_edit_account() keine Berechtigungsprüfung durchführt. Nicht ausreichend berechtigte Aufrufer können die Aktion dadurch auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte fehlerbereinigte Version aktualisieren.

    CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD
  16. WordPress-Plugin Baggage Freight Shipping Australia 0.1.0 – unbeschränkter Datei-Upload

    CVE-2018-25436 Kritisch

    Das WordPress-Plugin Baggage Freight Shipping Australia in Version 0.1.0 enthält eine Schwachstelle für unbeschränkten Datei-Upload: Nicht authentifizierte Angreifer können über die Upload-Funktion beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung und ohne Benutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Die Lücke wird von den WordPress-Quellen Patchstack, Wordfence und WPScan geführt.

    CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD
  17. WordPress-Plugin Branda bis 3.4.29: Privilege Escalation durch Account-Übernahme

    CVE-2026-11551 Kritisch

    Das WordPress-Plugin Branda ist in allen Versionen bis einschliesslich 3.4.29 für eine Rechteausweitung per Account-Übernahme anfällig. Ursache ist laut Quelle, dass das Plugin die Identität eines Benutzers nicht korrekt validiert. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD
  18. WordPress Seotheme: Remote Code Execution durch Upload schädlicher Dateien

    CVE-2023-54352 Kritisch

    Im WordPress-Theme Seotheme besteht eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können beliebigen PHP-Code ausführen, indem sie schädliche Dateien in das Theme-Verzeichnis hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene WordPress-Installationen sollten gemäss NVD-Eintrag geprüft werden.

    CVSS: 9.8 EPSS: 0.61% Publiziert: Referenz: NVD
  19. Blocksy Companion Pro für WordPress: Nicht authentifizierter Datei-Upload

    CVE-2026-58480 Kritisch

    Das WordPress-Plugin Blocksy Companion Pro vor Version 2.1.47 enthält laut NVD eine Schwachstelle, die einen nicht authentifizierten Upload beliebiger Dateien erlaubt. Angreifer können durch Umgehung der Endungsprüfung ausführbare Dateien hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 9.8 EPSS: 0.60% Publiziert: Referenz: NVD
  20. WordPress-Plugin miniOrange OTP Login: Authentifizierungsumgehung bis zur Admin-Übernahme

    CVE-2026-14245 Kritisch

    Das WordPress-Plugin miniOrange OTP Login, Verification and SMS Notifications erlaubt eine Umgehung der Authentifizierung, die bis zur Übernahme des Administratorkontos führen kann. Betroffen sind alle Versionen bis einschliesslich der in der Meldung genannten Fassung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

    CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD
  21. WordPress-Plugin Insert PHP: PHP-Code-Injection über Shortcodes

    CVE-2017-20251 Kritisch

    Das WordPress-Plugin Insert PHP enthält in Versionen vor 3.3.1 eine PHP-Code-Injection-Schwachstelle. Nicht authentifizierte Angreifer können durch Einschleusen präparierter Shortcodes beliebigen PHP-Code ausführen. CVSS-Basiswert: 9.8 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf Version 3.3.1 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD
  22. Divi Form Builder (WordPress): Beliebiger Datei-Upload führt zu Remote Code Execution

    CVE-2026-5524 Kritisch

    Das WordPress-Plugin Divi Form Builder ist für einen beliebigen Datei-Upload anfällig, der zu Remote Code Execution führen kann. Ursache ist eine unzureichende Prüfung der Dateiendung; betroffen sind laut Quelle alle Versionen bis einschliesslich 5.1.8. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  23. WordPress-Plugin Super Forms: Upload beliebiger Dateien über submit_form

    CVE-2026-14894 Kritisch

    Das WordPress-Plugin Super Forms (Drag & Drop Form Builder) erlaubt über die Funktion submit_form das Hochladen beliebiger Dateien, da eine Validierung fehlt. Betroffen sind alle Versionen bis einschliesslich 6.3.313. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

    CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD
  24. WordPress Doctreat Core: Privilegienausweitung bis Version 1.6.8

    CVE-2025-6254 Kritisch

    Das WordPress-Plugin Doctreat Core ist in allen Versionen bis einschliesslich 1.6.8 anfällig für Privilegienausweitung, weil die Funktion doctreat_process_registration() Registrierungen nicht ausreichend einschränkt. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.49% Publiziert: Referenz: NVD
  25. WordPress miniOrange Social Login and Register: Authentifizierungsumgehung mit Kontoübernahme

    CVE-2026-12761 Kritisch

    Das WordPress-Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) ist für eine Authentifizierungsumgehung anfällig, die zur Übernahme von Konten führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist der Angriff ohne Rechte und ohne Nutzerinteraktion über das Netz möglich. Betroffene Installationen sollten auf eine Version oberhalb der im Advisory genannten Versionsspanne aktualisiert werden.

    CVSS: 9.8 EPSS: 0.46% Publiziert: Referenz: NVD
  26. WordPress-Plugin SignUp & SignIn: Authentifizierungsumgehung über Passwort-Reset

    CVE-2026-12417 Kritisch

    Das WordPress-Plugin SignUp & SignIn prüft den Passwort-Reset unzureichend und erlaubt dadurch eine Umgehung der Authentifizierung bis hin zur Kontoübernahme. Betroffen sind alle Versionen bis einschliesslich 1.0.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

    CVSS: 9.8 EPSS: 0.45% Publiziert: Referenz: NVD
  27. WordPress-Plugin EventON bis 5.0.11: SQL-Injection über den Parameter search

    CVE-2026-9711 Kritisch

    Das WordPress-Plugin EventON (Virtual Event Calendar, Full-Version) ist laut NVD bis einschliesslich Version 5.0.11 anfällig für eine SQL-Injection über den WordPress-Parameter search. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan). Empfohlene Massnahme: auf eine Version neuer als 5.0.11 aktualisieren.

    CVSS: 9.8 EPSS: 0.44% Publiziert: Referenz: NVD
  28. WordPress & WooCommerce Scraper Plugin – Unauthenticated Arbitrary File Upload

    CVE-2025-69129 Kritisch

    Im WordPress-Plugin "WordPress & WooCommerce Scraper Plugin, Import Data from Any Site" besteht bis einschliesslich Version 1.0.7 eine Schwachstelle, die nicht authentifizierten Angreifern das Hochladen beliebiger Dateien erlaubt. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das Plugin auf eine Version oberhalb 1.0.7 aktualisieren bzw. bis zur Verfügbarkeit eines Fixes deaktivieren.

    CVSS: 10.0 EPSS: 0.43% Publiziert: Referenz: NVD
  29. WordPress Ultimate Addons for Beaver Builder: Authentifizierungsumgehung

    CVE-2019-25763 Kritisch

    Das WordPress-Plugin Ultimate Addons for Beaver Builder in Version 1.2.4.1 enthält eine Schwachstelle zur Authentifizierungsumgehung. Angreifer können sich laut Quelle über die Funktion des Social-Media-Login-Formulars unberechtigten Zugang verschaffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da die Schwachstelle ohne vorherige Anmeldung ausgenutzt werden kann, sollten betroffene Installationen vorrangig geprüft werden.

    CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD
  30. WordPress-Plugin „Schema & Structured Data for WP & AMP": Ungeprüfter Datei-Upload

    CVE-2026-9067 Kritisch

    Das WordPress-Plugin „Schema & Structured Data for WP & AMP" prüft vor Version 1.60 in seinen Frontend-AJAX-Handlern für Datei-Uploads keine Benutzerberechtigungen und validiert den tatsächlichen Inhalt hochgeladener Dateien nicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Plugin-Version 1.60.

    CVSS: 9.1 EPSS: 0.43% Publiziert: Referenz: NVD
  31. WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection

    CVE-2026-25470 Kritisch

    Im WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.

    CVSS: 10.0 EPSS: 0.41% Publiziert: Referenz: NVD
  32. WordPress WP-BusinessDirectory – nicht authentifizierte Arbitrary File Deletion

    CVE-2026-6070 Kritisch

    Das WordPress-Plugin WP-BusinessDirectory ist laut NVD in Versionen bis einschliesslich 4.0.1 für nicht authentifiziertes beliebiges Löschen von Dateien (Arbitrary File Deletion) anfällig, verursacht durch eine unzureichende Pfadvalidierung in der remove()-Funktion. Der Angriff ist netzwerkbasiert ohne Authentifizierung möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.1 EPSS: 0.41% Publiziert: Referenz: NVD
  33. WordPress Toolkit in cPanel & WHM: Argument Injection umgeht Mandantentrennung

    CVE-2026-47365 Kritisch

    Im WordPress Toolkit vor Version 6.11.0, wie es in cPanel & WHM eingesetzt wird, besteht eine Argument-Injection-Schwachstelle. Sie erlaubt es entfernten, authentifizierten Benutzern, die mandantenübergreifende Autorisierung zu umgehen und beliebige wp-toolkit-CLI-Aufrufe auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: WordPress Toolkit auf 6.11.0 oder neuer aktualisieren.

    CVSS: 9.9 EPSS: 0.41% Publiziert: Referenz: NVD
  34. WordPress-Plugin SMS Alert für WooCommerce: Rechteausweitung durch Account-Übernahme

    CVE-2026-11387 Kritisch

    Das WordPress-Plugin „SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery" ist laut Quellbeschreibung für eine Rechteausweitung per Account-Übernahme anfällig. Betroffen sind alle Versionen bis einschliesslich der in der Quelle genannten Fassung. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  35. WordPress WP Learn Manager: Autorisierungsumgehung bis Version 1.1.8

    CVE-2026-12153 Kritisch

    Das WordPress-Plugin WP Learn Manager ist in allen Versionen bis einschliesslich 1.1.8 anfällig für eine Autorisierungsumgehung, weil das Plugin nicht ausreichend prüft, ob ein Benutzer berechtigt ist. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD
  36. WordPress-Plugin Invoice Generator: Account-Übernahme über Passwort-Reset

    CVE-2026-12416 Kritisch

    Das WordPress-Plugin Invoice Generator ist in allen Versionen bis einschliesslich 1.0.0 für eine Account-Übernahme per Passwort-Reset anfällig. Ursache ist laut Quellbeschreibung die Funktion pravel_invoice_change_password(). Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD
  37. GEO my WP: SQL-Injection über die Parameter distance, lat und lng

    CVE-2026-15300 Kritisch

    Das WordPress-Plugin GEO my WP ist in den Versionen bis einschliesslich 4.5.4 für SQL-Injection über die Parameter 'distance', 'lat' und 'lng' anfällig. Die Werte wurden laut Quelle aus $_SERVER['QUERY_STRING'] gelesen und ungeprüft weiterverarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 4.5.4 aktualisieren.

    CVSS: 9.1 EPSS: 0.35% Publiziert: Referenz: NVD
  38. WordPress-Plugin ProfileGrid: Rechteausweitung durch Kontoübernahme

    CVE-2026-12073 Kritisch

    Das WordPress-Plugin ProfileGrid (User Profiles, Groups and Communities) erlaubt eine Rechteausweitung durch Übernahme fremder Konten. Betroffen sind alle Versionen bis einschliesslich 5.9.9.5. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

    CVSS: 9.8 EPSS: 0.31% Publiziert: Referenz: NVD
  39. WordPress-Plugin Uncanny Automator Pro: Schadcode über kompromittierte Verteilinfrastruktur ausgeliefert

    CVE-2026-12375 Kritisch

    Das WordPress-Plugin uncanny-automator-pro wurde in Versionen vor 7.3.0.6 mit Schadcode ausgeliefert, nachdem die Update- beziehungsweise Verteilinfrastruktur des Herstellers kompromittiert worden war. Es handelt sich damit um einen Supply-Chain-Vorfall in der Plugin-Auslieferung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf uncanny-automator-pro 7.3.0.6 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD
  40. GPTranslate für WordPress: unauthentifizierte SQL-Injection in Versionen bis 2.32.6

    CVE-2026-49776 Kritisch

    Das WordPress-Plugin GPTranslate – Multilingual AI Translation enthält in den Versionen bis einschliesslich 2.32.6 eine SQL-Injection, die ohne Authentifizierung ausgenutzt werden kann. Angreifer können darüber Datenbankabfragen manipulieren. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 2.32.6 aktualisieren.

    CVSS: 9.3 EPSS: 0.29% Publiziert: Referenz: NVD
  41. WP MAPS PRO (WordPress): Unauthentifizierte AJAX-Aktion mit öffentlich einsehbarer Nonce

    CVE-2026-8935 Kritisch

    Das WordPress-Plugin WP MAPS PRO vor Version 6.1.1 registriert eine AJAX-Aktion, die ohne Authentifizierung aufrufbar ist. Die benötigte Nonce wird auf jeder Frontend-Seite, die das Karten-Skript einbindet, öffentlich ausgegeben; die Aktion wird anschliessend bedingungslos ausgeführt. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Schwachstelle als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf WP MAPS PRO 6.1.1 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD
  42. Eventer (WordPress): Unsicherer Passwort-Reset-Mechanismus

    CVE-2026-9701 Kritisch

    Das WordPress-Plugin Eventer weist einen unsicheren Passwort-Reset-Mechanismus auf: Der Reset-Schlüssel wird im Klartext gespeichert. Betroffen sind laut Quelle alle Versionen bis einschliesslich 4.4.2. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD
  43. WordPress-Plugin Hippoo Mobile App for WooCommerce: Authentifizierungsumgehung mit Admin-Übernahme

    CVE-2026-10580 Kritisch

    Das WordPress-Plugin Hippoo Mobile App for WooCommerce ist in allen Versionen bis einschliesslich 1.9.4 für eine Authentifizierungsumgehung anfällig, die bis zur Übernahme des Administratorkontos führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 1.9.4 aktualisieren, sobald verfügbar; die Quelldaten enthalten keine weitergehende Massnahmenempfehlung.

    CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD
  44. GEO my WordPress: Nicht authentifizierte SQL-Injection

    CVE-2026-52715 Kritisch

    Im WordPress-Plugin GEO my WordPress besteht in den Versionen bis einschliesslich 4.5.5 eine SQL-Injection-Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 4.5.5 aktualisieren.

    CVSS: 9.3 EPSS: 0.25% Publiziert: Referenz: NVD
  45. WordPress DoLeads Integrator / wp2epub: Remote Code Execution

    CVE-2026-4375 Kritisch

    Die WordPress-Plugins DoLeads Integrator (bis Version 0.65) und wp2epub (bis Version 0.65) wurden dazu genutzt, Remote Code Execution zu erreichen, sobald sie einem Blog hinzugefügt werden. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.0 EPSS: 0.25% Publiziert: Referenz: NVD
  46. WordPress User Registration & Membership: Ungeprüfte Webhook-Benachrichtigungen von Zahlungsanbietern

    CVE-2026-11964 Kritisch

    Das WordPress-Plugin User Registration & Membership vor Version 5.2.2 prüft die Echtheit eingehender Webhook-Benachrichtigungen von Zahlungsanbietern nicht, bevor es auf sie reagiert. Nicht authentifizierte Angreifer können dadurch gefälschte Benachrichtigungen einschleusen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Plugin-Version 5.2.2 oder neuer aktualisieren.

    CVSS: 9.1 EPSS: 0.15% Publiziert: Referenz: NVD
  47. WordPress-Plugin ad manager wd 1.0.11: Arbitrary File Download

    CVE-2019-25727 Kritisch

    Das WordPress-Plugin ad manager wd in Version 1.0.11 enthält eine Schwachstelle zum unberechtigten Herunterladen beliebiger Dateien. Nicht authentifizierte Angreifende können über den manipulierbaren path-Parameter sensible Dateien vom Server abrufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

    CVSS: 9.8 EPSS: 0.13% Publiziert: Referenz: NVD
  48. WordPress Kirki Freeform Page Builder Plugin – Privilege Escalation via Account Takeover

    CVE-2026-8206 Kritisch

    Das WordPress-Plugin „Kirki – Freeform Page Builder, Website Builder & Customizer” ist in den Versionen 6.0.0 bis 6.0.6 anfällig für Privilege Escalation durch Account Takeover. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.12% Publiziert: Referenz: NVD
  49. WordPress Hybrid Composer 1.4.6: Unauthentifizierte Änderung von WordPress-Optionen

    CVE-2019-25738 Kritisch

    WordPress Hybrid Composer 1.4.6 enthält eine Schwachstelle, über die nicht authentifizierte Angreifer WordPress-Optionen verändern können, indem sie die Aktion hc_ajax_save_option ausnutzen. Die Lücke ist laut CVSS-Vektor über das Netzwerk und ohne Authentisierung oder Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD
  50. Word Count and Social Shares (WordPress-Plugin): Beliebiges Löschen von Dateien

    CVE-2026-11563 Kritisch

    Das WordPress-Plugin „Word Count and Social Shares“ validiert bis einschliesslich Version 1.0 einen benutzerseitig übergebenen Dateipfad vor dem Löschen nicht und verfügt zudem weder über eine ordentliche Berechtigungsprüfung noch über CSRF-Schutz. Dadurch können bereits authentifizierte Nutzer beliebige Dateien löschen. CVSS-Basiswert: 9.6 (Kritisch). Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar, und den Zugriff bis dahin einschränken.

    CVSS: 9.6 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für WordPress (Wordfence), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog