WordPress (Wordfence)
WordPress (Wordfence) gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht WordPress (Wordfence) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.
Schwachstellen-Reports
151 ReportsZeige 1 bis 50 von 151
-
WordPress File Manager Plugin – Remote Code Execution
CVE-2020-25213 Aktiv ausgenutztDas WordPress-Plugin File Manager ermöglicht Angreifern die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.41% Publiziert: Referenz: CISA KEV -
WordPress Snap Creek Duplicator Plugin – Datei-Download
CVE-2020-11738 Aktiv ausgenutztDas WordPress-Plugin Snap Creek Duplicator enthält eine Schwachstelle, die einen nicht autorisierten Datei-Download ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.25% Publiziert: Referenz: CISA KEV -
WebPros cPanel & WHM / WP2 – Fehlende Authentifizierung für kritische Funktion
CVE-2026-41940 Aktiv ausgenutzt RansomwareIn WebPros cPanel & WHM sowie WP2 (WordPress Squared) wurde eine Schwachstelle durch fehlende Authentifizierung bei einer kritischen Funktion gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 90.8 %.
EPSS: 90.76% Publiziert: Referenz: CISA KEV -
WordPress Social Warfare Plugin – Cross-Site Scripting (XSS)
CVE-2019-9978 Aktiv ausgenutztDas WordPress-Plugin Social Warfare weist eine Cross-Site-Scripting-Schwachstelle (XSS) auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 88.7 %.
EPSS: 88.71% Publiziert: Referenz: CISA KEV -
WordPress Avada (Fusion) Builder – Beliebiges Löschen von Dateien
CVE-2026-8713 KritischDas Avada-(Fusion-)Builder-Plugin für WordPress ist durch unzureichende Prüfung des Dateipfads in der Funktion maybe_delete_files für das beliebige Löschen von Dateien anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich der korrigierten Fassung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte korrigierte Version aktualisieren.
CVSS: 9.1 EPSS: 1.19% Publiziert: Referenz: NVD -
WordPress-Plugin Blocksy Companion: Beliebiger Datei-Upload
CVE-2026-15158 KritischDas WordPress-Plugin Blocksy Companion ist bis einschliesslich Version 2.1.46 für den Upload beliebiger Dateien anfällig. Ursache ist die Funktion save_attachments in der Custom-Fonts-Erweiterung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 2.1.46 aktualisieren.
CVSS: 9.8 EPSS: 1.00% Publiziert: Referenz: NVD -
WordPress File-Manager-Plugins – kritische Schwachstelle in mehreren Erweiterungen
CVE-2026-6382 KritischMehrere WordPress-Datei-Manager-Plugins sind betroffen: FileOrganizer vor 1.1.9, Advanced File Manager vor 5.4.12, File Manager Pro vor 2.1.1 sowie File Manager vor 8.0.4. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: die betroffenen Plugins auf die jeweils korrigierte Version aktualisieren.
CVSS: 9.1 EPSS: 0.90% Publiziert: Referenz: NVD -
BetterDocs Pro (WordPress): Local File Inclusion über den Parameter doc_style
CVE-2026-7515 KritischDas WordPress-Plugin BetterDocs Pro ist über den Parameter doc_style für eine Local File Inclusion anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich 3.8.0; nicht authentifizierte Angreifer können die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.
CVSS: 9.8 EPSS: 0.89% Publiziert: Referenz: NVD -
WordPress Background Image Cropper 1.2: Remote Code Execution über ups.php
CVE-2024-58348 KritischDas WordPress-Plugin Background Image Cropper in Version 1.2 enthält eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können über den Endpunkt ups.php beliebige Dateien hochladen. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.84% Publiziert: Referenz: NVD -
WordPress-Plugin WPFunnels: Remote Code Execution
CVE-2026-14345 KritischDas WordPress-Plugin WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell ist bis einschliesslich Version 3.12.7 für Remote Code Execution über den Parameter 'postData' anfällig. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 3.12.7 aktualisieren.
CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD -
WordPress Instant Appointment: Upload beliebiger Dateien durch fehlende Typprüfung
CVE-2026-15282 KritischDas WordPress-Plugin Instant Appointment erlaubt den Upload beliebiger Dateien, weil die Funktion insapp_upload_image_as_attachment den Dateityp nicht validiert. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der im NVD-Eintrag genannten. Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD -
WordPress Printcart Web to Print (WooCommerce): Beliebiges Löschen von Dateien
CVE-2026-9725 KritischDas WordPress-Plugin Printcart Web to Print Product Designer for WooCommerce ist in Versionen bis einschliesslich 2.5.2 für das Löschen beliebiger Dateien anfällig. Ursache ist eine unzureichende Pfadvalidierung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine Version neuer als 2.5.2 aktualisieren.
CVSS: 9.1 EPSS: 0.74% Publiziert: Referenz: NVD -
WordPress Simple Coherent Form: Löschen beliebiger Dateien
CVE-2026-14487 KritischDas WordPress-Plugin Simple Coherent Form ist anfällig für das Löschen beliebiger Dateien. Ursache ist eine unzureichende Validierung des Dateipfads in der Funktion removeUploadDir; betroffen sind alle Versionen bis einschliesslich 2.x. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus, mit hoher Auswirkung auf Integrität und Verfügbarkeit. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 9.1 EPSS: 0.74% Publiziert: Referenz: NVD -
WordPress-Theme Travelscape 1.0.3: Arbitrary File Upload
CVE-2024-58349 KritischDas WordPress-Theme Travelscape in Version 1.0.3 enthält eine Schwachstelle beim Datei-Upload. Durch unzureichende Validierung in der Upload-Funktion des Themes können nicht authentifizierte Angreifer beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 9.8 EPSS: 0.67% Publiziert: Referenz: NVD -
WordPress-Plugin Invoice Generator: Rechteausweitung über ungeschützte AJAX-Aktion
CVE-2026-12415 KritischDas WordPress-Plugin Invoice Generator ist anfällig für eine Rechteausweitung, weil die AJAX-Aktion pravel_invoice_edit_account() keine Berechtigungsprüfung durchführt. Nicht ausreichend berechtigte Aufrufer können die Aktion dadurch auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte fehlerbereinigte Version aktualisieren.
CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD -
WordPress-Plugin Baggage Freight Shipping Australia 0.1.0 – unbeschränkter Datei-Upload
CVE-2018-25436 KritischDas WordPress-Plugin Baggage Freight Shipping Australia in Version 0.1.0 enthält eine Schwachstelle für unbeschränkten Datei-Upload: Nicht authentifizierte Angreifer können über die Upload-Funktion beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung und ohne Benutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Die Lücke wird von den WordPress-Quellen Patchstack, Wordfence und WPScan geführt.
CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD -
WordPress-Plugin Branda bis 3.4.29: Privilege Escalation durch Account-Übernahme
CVE-2026-11551 KritischDas WordPress-Plugin Branda ist in allen Versionen bis einschliesslich 3.4.29 für eine Rechteausweitung per Account-Übernahme anfällig. Ursache ist laut Quelle, dass das Plugin die Identität eines Benutzers nicht korrekt validiert. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD -
WordPress Seotheme: Remote Code Execution durch Upload schädlicher Dateien
CVE-2023-54352 KritischIm WordPress-Theme Seotheme besteht eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können beliebigen PHP-Code ausführen, indem sie schädliche Dateien in das Theme-Verzeichnis hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene WordPress-Installationen sollten gemäss NVD-Eintrag geprüft werden.
CVSS: 9.8 EPSS: 0.61% Publiziert: Referenz: NVD -
Blocksy Companion Pro für WordPress: Nicht authentifizierter Datei-Upload
CVE-2026-58480 KritischDas WordPress-Plugin Blocksy Companion Pro vor Version 2.1.47 enthält laut NVD eine Schwachstelle, die einen nicht authentifizierten Upload beliebiger Dateien erlaubt. Angreifer können durch Umgehung der Endungsprüfung ausführbare Dateien hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 9.8 EPSS: 0.60% Publiziert: Referenz: NVD -
WordPress-Plugin miniOrange OTP Login: Authentifizierungsumgehung bis zur Admin-Übernahme
CVE-2026-14245 KritischDas WordPress-Plugin miniOrange OTP Login, Verification and SMS Notifications erlaubt eine Umgehung der Authentifizierung, die bis zur Übernahme des Administratorkontos führen kann. Betroffen sind alle Versionen bis einschliesslich der in der Meldung genannten Fassung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.
CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD -
WordPress-Plugin Insert PHP: PHP-Code-Injection über Shortcodes
CVE-2017-20251 KritischDas WordPress-Plugin Insert PHP enthält in Versionen vor 3.3.1 eine PHP-Code-Injection-Schwachstelle. Nicht authentifizierte Angreifer können durch Einschleusen präparierter Shortcodes beliebigen PHP-Code ausführen. CVSS-Basiswert: 9.8 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf Version 3.3.1 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD -
Divi Form Builder (WordPress): Beliebiger Datei-Upload führt zu Remote Code Execution
CVE-2026-5524 KritischDas WordPress-Plugin Divi Form Builder ist für einen beliebigen Datei-Upload anfällig, der zu Remote Code Execution führen kann. Ursache ist eine unzureichende Prüfung der Dateiendung; betroffen sind laut Quelle alle Versionen bis einschliesslich 5.1.8. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
WordPress-Plugin Super Forms: Upload beliebiger Dateien über submit_form
CVE-2026-14894 KritischDas WordPress-Plugin Super Forms (Drag & Drop Form Builder) erlaubt über die Funktion submit_form das Hochladen beliebiger Dateien, da eine Validierung fehlt. Betroffen sind alle Versionen bis einschliesslich 6.3.313. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.
CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD -
WordPress Doctreat Core: Privilegienausweitung bis Version 1.6.8
CVE-2025-6254 KritischDas WordPress-Plugin Doctreat Core ist in allen Versionen bis einschliesslich 1.6.8 anfällig für Privilegienausweitung, weil die Funktion doctreat_process_registration() Registrierungen nicht ausreichend einschränkt. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.49% Publiziert: Referenz: NVD -
WordPress miniOrange Social Login and Register: Authentifizierungsumgehung mit Kontoübernahme
CVE-2026-12761 KritischDas WordPress-Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) ist für eine Authentifizierungsumgehung anfällig, die zur Übernahme von Konten führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist der Angriff ohne Rechte und ohne Nutzerinteraktion über das Netz möglich. Betroffene Installationen sollten auf eine Version oberhalb der im Advisory genannten Versionsspanne aktualisiert werden.
CVSS: 9.8 EPSS: 0.46% Publiziert: Referenz: NVD -
WordPress-Plugin SignUp & SignIn: Authentifizierungsumgehung über Passwort-Reset
CVE-2026-12417 KritischDas WordPress-Plugin SignUp & SignIn prüft den Passwort-Reset unzureichend und erlaubt dadurch eine Umgehung der Authentifizierung bis hin zur Kontoübernahme. Betroffen sind alle Versionen bis einschliesslich 1.0.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.
CVSS: 9.8 EPSS: 0.45% Publiziert: Referenz: NVD -
WordPress-Plugin EventON bis 5.0.11: SQL-Injection über den Parameter search
CVE-2026-9711 KritischDas WordPress-Plugin EventON (Virtual Event Calendar, Full-Version) ist laut NVD bis einschliesslich Version 5.0.11 anfällig für eine SQL-Injection über den WordPress-Parameter search. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan). Empfohlene Massnahme: auf eine Version neuer als 5.0.11 aktualisieren.
CVSS: 9.8 EPSS: 0.44% Publiziert: Referenz: NVD -
WordPress & WooCommerce Scraper Plugin – Unauthenticated Arbitrary File Upload
CVE-2025-69129 KritischIm WordPress-Plugin "WordPress & WooCommerce Scraper Plugin, Import Data from Any Site" besteht bis einschliesslich Version 1.0.7 eine Schwachstelle, die nicht authentifizierten Angreifern das Hochladen beliebiger Dateien erlaubt. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das Plugin auf eine Version oberhalb 1.0.7 aktualisieren bzw. bis zur Verfügbarkeit eines Fixes deaktivieren.
CVSS: 10.0 EPSS: 0.43% Publiziert: Referenz: NVD -
WordPress Ultimate Addons for Beaver Builder: Authentifizierungsumgehung
CVE-2019-25763 KritischDas WordPress-Plugin Ultimate Addons for Beaver Builder in Version 1.2.4.1 enthält eine Schwachstelle zur Authentifizierungsumgehung. Angreifer können sich laut Quelle über die Funktion des Social-Media-Login-Formulars unberechtigten Zugang verschaffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da die Schwachstelle ohne vorherige Anmeldung ausgenutzt werden kann, sollten betroffene Installationen vorrangig geprüft werden.
CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD -
WordPress-Plugin „Schema & Structured Data for WP & AMP": Ungeprüfter Datei-Upload
CVE-2026-9067 KritischDas WordPress-Plugin „Schema & Structured Data for WP & AMP" prüft vor Version 1.60 in seinen Frontend-AJAX-Handlern für Datei-Uploads keine Benutzerberechtigungen und validiert den tatsächlichen Inhalt hochgeladener Dateien nicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Plugin-Version 1.60.
CVSS: 9.1 EPSS: 0.43% Publiziert: Referenz: NVD -
WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection
CVE-2026-25470 KritischIm WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.
CVSS: 10.0 EPSS: 0.41% Publiziert: Referenz: NVD -
WordPress WP-BusinessDirectory – nicht authentifizierte Arbitrary File Deletion
CVE-2026-6070 KritischDas WordPress-Plugin WP-BusinessDirectory ist laut NVD in Versionen bis einschliesslich 4.0.1 für nicht authentifiziertes beliebiges Löschen von Dateien (Arbitrary File Deletion) anfällig, verursacht durch eine unzureichende Pfadvalidierung in der remove()-Funktion. Der Angriff ist netzwerkbasiert ohne Authentifizierung möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.41% Publiziert: Referenz: NVD -
WordPress Toolkit in cPanel & WHM: Argument Injection umgeht Mandantentrennung
CVE-2026-47365 KritischIm WordPress Toolkit vor Version 6.11.0, wie es in cPanel & WHM eingesetzt wird, besteht eine Argument-Injection-Schwachstelle. Sie erlaubt es entfernten, authentifizierten Benutzern, die mandantenübergreifende Autorisierung zu umgehen und beliebige wp-toolkit-CLI-Aufrufe auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: WordPress Toolkit auf 6.11.0 oder neuer aktualisieren.
CVSS: 9.9 EPSS: 0.41% Publiziert: Referenz: NVD -
WordPress-Plugin SMS Alert für WooCommerce: Rechteausweitung durch Account-Übernahme
CVE-2026-11387 KritischDas WordPress-Plugin „SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery" ist laut Quellbeschreibung für eine Rechteausweitung per Account-Übernahme anfällig. Betroffen sind alle Versionen bis einschliesslich der in der Quelle genannten Fassung. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
WordPress WP Learn Manager: Autorisierungsumgehung bis Version 1.1.8
CVE-2026-12153 KritischDas WordPress-Plugin WP Learn Manager ist in allen Versionen bis einschliesslich 1.1.8 anfällig für eine Autorisierungsumgehung, weil das Plugin nicht ausreichend prüft, ob ein Benutzer berechtigt ist. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD -
WordPress-Plugin Invoice Generator: Account-Übernahme über Passwort-Reset
CVE-2026-12416 KritischDas WordPress-Plugin Invoice Generator ist in allen Versionen bis einschliesslich 1.0.0 für eine Account-Übernahme per Passwort-Reset anfällig. Ursache ist laut Quellbeschreibung die Funktion pravel_invoice_change_password(). Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD -
GEO my WP: SQL-Injection über die Parameter distance, lat und lng
CVE-2026-15300 KritischDas WordPress-Plugin GEO my WP ist in den Versionen bis einschliesslich 4.5.4 für SQL-Injection über die Parameter 'distance', 'lat' und 'lng' anfällig. Die Werte wurden laut Quelle aus $_SERVER['QUERY_STRING'] gelesen und ungeprüft weiterverarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 4.5.4 aktualisieren.
CVSS: 9.1 EPSS: 0.35% Publiziert: Referenz: NVD -
WordPress-Plugin ProfileGrid: Rechteausweitung durch Kontoübernahme
CVE-2026-12073 KritischDas WordPress-Plugin ProfileGrid (User Profiles, Groups and Communities) erlaubt eine Rechteausweitung durch Übernahme fremder Konten. Betroffen sind alle Versionen bis einschliesslich 5.9.9.5. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.
CVSS: 9.8 EPSS: 0.31% Publiziert: Referenz: NVD -
WordPress-Plugin Uncanny Automator Pro: Schadcode über kompromittierte Verteilinfrastruktur ausgeliefert
CVE-2026-12375 KritischDas WordPress-Plugin uncanny-automator-pro wurde in Versionen vor 7.3.0.6 mit Schadcode ausgeliefert, nachdem die Update- beziehungsweise Verteilinfrastruktur des Herstellers kompromittiert worden war. Es handelt sich damit um einen Supply-Chain-Vorfall in der Plugin-Auslieferung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf uncanny-automator-pro 7.3.0.6 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD -
GPTranslate für WordPress: unauthentifizierte SQL-Injection in Versionen bis 2.32.6
CVE-2026-49776 KritischDas WordPress-Plugin GPTranslate – Multilingual AI Translation enthält in den Versionen bis einschliesslich 2.32.6 eine SQL-Injection, die ohne Authentifizierung ausgenutzt werden kann. Angreifer können darüber Datenbankabfragen manipulieren. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 2.32.6 aktualisieren.
CVSS: 9.3 EPSS: 0.29% Publiziert: Referenz: NVD -
WP MAPS PRO (WordPress): Unauthentifizierte AJAX-Aktion mit öffentlich einsehbarer Nonce
CVE-2026-8935 KritischDas WordPress-Plugin WP MAPS PRO vor Version 6.1.1 registriert eine AJAX-Aktion, die ohne Authentifizierung aufrufbar ist. Die benötigte Nonce wird auf jeder Frontend-Seite, die das Karten-Skript einbindet, öffentlich ausgegeben; die Aktion wird anschliessend bedingungslos ausgeführt. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Schwachstelle als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf WP MAPS PRO 6.1.1 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD -
Eventer (WordPress): Unsicherer Passwort-Reset-Mechanismus
CVE-2026-9701 KritischDas WordPress-Plugin Eventer weist einen unsicheren Passwort-Reset-Mechanismus auf: Der Reset-Schlüssel wird im Klartext gespeichert. Betroffen sind laut Quelle alle Versionen bis einschliesslich 4.4.2. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD -
WordPress-Plugin Hippoo Mobile App for WooCommerce: Authentifizierungsumgehung mit Admin-Übernahme
CVE-2026-10580 KritischDas WordPress-Plugin Hippoo Mobile App for WooCommerce ist in allen Versionen bis einschliesslich 1.9.4 für eine Authentifizierungsumgehung anfällig, die bis zur Übernahme des Administratorkontos führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 1.9.4 aktualisieren, sobald verfügbar; die Quelldaten enthalten keine weitergehende Massnahmenempfehlung.
CVSS: 9.8 EPSS: 0.27% Publiziert: Referenz: NVD -
GEO my WordPress: Nicht authentifizierte SQL-Injection
CVE-2026-52715 KritischIm WordPress-Plugin GEO my WordPress besteht in den Versionen bis einschliesslich 4.5.5 eine SQL-Injection-Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 4.5.5 aktualisieren.
CVSS: 9.3 EPSS: 0.25% Publiziert: Referenz: NVD -
WordPress DoLeads Integrator / wp2epub: Remote Code Execution
CVE-2026-4375 KritischDie WordPress-Plugins DoLeads Integrator (bis Version 0.65) und wp2epub (bis Version 0.65) wurden dazu genutzt, Remote Code Execution zu erreichen, sobald sie einem Blog hinzugefügt werden. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.0 EPSS: 0.25% Publiziert: Referenz: NVD -
WordPress User Registration & Membership: Ungeprüfte Webhook-Benachrichtigungen von Zahlungsanbietern
CVE-2026-11964 KritischDas WordPress-Plugin User Registration & Membership vor Version 5.2.2 prüft die Echtheit eingehender Webhook-Benachrichtigungen von Zahlungsanbietern nicht, bevor es auf sie reagiert. Nicht authentifizierte Angreifer können dadurch gefälschte Benachrichtigungen einschleusen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Plugin-Version 5.2.2 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.15% Publiziert: Referenz: NVD -
WordPress-Plugin ad manager wd 1.0.11: Arbitrary File Download
CVE-2019-25727 KritischDas WordPress-Plugin ad manager wd in Version 1.0.11 enthält eine Schwachstelle zum unberechtigten Herunterladen beliebiger Dateien. Nicht authentifizierte Angreifende können über den manipulierbaren path-Parameter sensible Dateien vom Server abrufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.
CVSS: 9.8 EPSS: 0.13% Publiziert: Referenz: NVD -
WordPress Kirki Freeform Page Builder Plugin – Privilege Escalation via Account Takeover
CVE-2026-8206 KritischDas WordPress-Plugin „Kirki – Freeform Page Builder, Website Builder & Customizer” ist in den Versionen 6.0.0 bis 6.0.6 anfällig für Privilege Escalation durch Account Takeover. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.12% Publiziert: Referenz: NVD -
WordPress Hybrid Composer 1.4.6: Unauthentifizierte Änderung von WordPress-Optionen
CVE-2019-25738 KritischWordPress Hybrid Composer 1.4.6 enthält eine Schwachstelle, über die nicht authentifizierte Angreifer WordPress-Optionen verändern können, indem sie die Aktion hc_ajax_save_option ausnutzen. Die Lücke ist laut CVSS-Vektor über das Netzwerk und ohne Authentisierung oder Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Word Count and Social Shares (WordPress-Plugin): Beliebiges Löschen von Dateien
CVE-2026-11563 KritischDas WordPress-Plugin „Word Count and Social Shares“ validiert bis einschliesslich Version 1.0 einen benutzerseitig übergebenen Dateipfad vor dem Löschen nicht und verfügt zudem weder über eine ordentliche Berechtigungsprüfung noch über CSRF-Schutz. Dadurch können bereits authentifizierte Nutzer beliebige Dateien löschen. CVSS-Basiswert: 9.6 (Kritisch). Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar, und den Zugriff bis dahin einschränken.
CVSS: 9.6 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für WordPress (Wordfence), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.