WordPress (WPScan) Seite 2
Schwachstellen-Reports
151 ReportsZeige 51 bis 100 von 151
-
WordPress ARMember Premium Plugin – Unsicherer Passwort-Reset-Mechanismus
CVE-2026-5076 KritischDas WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 von einem unsicheren Passwort-Reset-Mechanismus betroffen: Der Plugin-Code speichert den Passwort-Reset-Schlüssel im Klartext. CVSS-Basiswert: 9.8 (Kritisch).
CVSS: 9.8 Publiziert: Referenz: NVD -
WordPress W3 Total Cache: Directory Traversal (bis 2.9.4)
CVE-2026-9282 HochDas Plugin W3 Total Cache für WordPress ist in allen Versionen bis einschliesslich 2.9.4 über die Funktion setupSources für Directory Traversal anfällig. Nicht authentifizierte Angreifer können dadurch auf Verzeichnisse ausserhalb des vorgesehenen Pfads zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 7.5 EPSS: 0.68% Publiziert: Referenz: NVD -
WordPress LA-Studio Element Kit für Elementor: Local File Inclusion (bis 1.6.1)
CVE-2026-15338 HochDas Plugin LA-Studio Element Kit for Elementor für WordPress ist in allen Versionen bis einschliesslich 1.6.1 über die Funktion get_type_template für Local File Inclusion anfällig. Dadurch lassen sich unter Umständen lokale Dateien einbinden und ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 7.5 EPSS: 0.56% Publiziert: Referenz: NVD -
WordPress Booking Package Plugin SQL-Injection
CVE-2026-15335 HochDas Plugin Booking Package für WordPress ist über den Formularparameter email (form<N>) für generische SQL-Injection anfällig, da Benutzereingaben unzureichend maskiert werden. Betroffen sind alle Versionen bis einschliesslich 1.7.20. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar.
CVSS: 7.5 EPSS: 0.48% Publiziert: Referenz: NVD -
PHP Object Injection im WordPress-Plugin Admin Columns
CVE-2026-7654 HochDas WordPress-Plugin Admin Columns ist in Versionen bis einschliesslich 7.0.18 über PHP Object Injection angreifbar, was zu Remote Code Execution führen kann; Ursache ist die Verwendung von unserialize() ohne ausreichende Absicherung. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 7.0.18 aktualisieren.
CVSS: 8.8 EPSS: 0.47% Publiziert: Referenz: NVD -
WordPress WP User Manager: Local File Inclusion (bis 2.9.17)
CVE-2026-9290 HochDas WordPress-Plugin WP User Manager – User Profile Builder & Membership ist bis einschliesslich Version 2.9.17 über die Funktion des Profil-Template-Scopes für Local File Inclusion anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.45% Publiziert: Referenz: NVD -
WordPress-Plugin MDJM Event Management: Arbitrary File Upload
CVE-2026-7537 HochDas Plugin MDJM Event Management für WordPress ist in allen Versionen bis einschliesslich 1.7.8.3 über die Funktion mdjm_send_comm_email für einen Arbitrary File Upload anfällig, da eine Prüfung des Dateityps fehlt. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.2 EPSS: 0.36% Publiziert: Referenz: NVD -
SureForms für WordPress – Improper Input Validation
CVE-2026-15288 HochDas WordPress-Plugin SureForms – Drag and Drop Form Builder ist in allen Versionen bis einschliesslich 2.2.1 durch eine unzureichende Eingabevalidierung angreifbar. Ursache ist die Verarbeitung von durch den Benutzer bereitgestellten Daten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Plugin auf eine Version über 2.2.1 aktualisieren, sobald verfügbar.
CVSS: 7.5 EPSS: 0.33% Publiziert: Referenz: NVD -
WordPress Content Visibility for Divi Builder – Remote Code Execution
CVE-2026-1829 HochDas WordPress-Plugin Content Visibility for Divi Builder ermöglicht in allen Versionen bis einschliesslich 4.02 die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution) über den Shortcode „et_pb_text”. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.22% Publiziert: Referenz: NVD -
WordPress WP Captcha PRO: Arbitrary File Upload
CVE-2026-5411 HochDas Plugin WP Captcha PRO (die Premium-Variante des Plugins Advanced Google reCAPTCHA, gleicher Slug) für WordPress ist über einen unzulässigen Datei-Upload angreifbar. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des Plugins auf die bereinigte Version.
CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD -
Newsletters WordPress-Plugin: PHP-Objektinjektion durch unsichere Deserialisierung
CVE-2026-12583 HochDas WordPress-Plugin Newsletters vor Version 4.15 verhindert nicht die Deserialisierung nicht vertrauenswürdiger Eingaben, die über ein öffentliches Formular gespeichert werden. Dadurch können nicht authentifizierte Angreifer ein PHP-Objekt einschleusen (PHP Object Injection). CVSS-Basiswert: 8.1 (Hoch). Empfohlene Massnahme: das Plugin auf Version 4.15 oder höher aktualisieren.
CVSS: 8.1 EPSS: 0.17% Publiziert: Referenz: NVD -
WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting
CVE-2026-8901 HochDas WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.
CVSS: 7.2 EPSS: 0.16% Publiziert: Referenz: NVD -
WordPress All-In-One Security (AIOS): Stored Cross-Site-Scripting
CVE-2026-8438 HochDas WordPress-Plugin All-In-One Security (AIOS) – Security and Firewall ist bis einschliesslich Version 5.4.7 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebereinigung. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 7.2 EPSS: 0.13% Publiziert: Referenz: NVD -
WordPress SP Project & Document Manager: Fehlende Berechtigungsprüfung erlaubt unbefugten Zugriff
CVE-2026-10737 HochDas WordPress-Plugin SP Project & Document Manager ist bis einschliesslich Version 4.71 durch eine fehlende Berechtigungsprüfung in der view_file-Funktion für unbefugten Zugriff anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 4.71.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Authentifizierungsumgehung im WordPress-Plugin WP Captcha PRO
CVE-2026-5415 HochDas WordPress-Plugin WP Captcha PRO (die Premium-Version des Plugins Advanced Google reCAPTCHA, beide teilen denselben Slug) ist über eine Authentifizierungsumgehung angreifbar. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Plugin auf eine bereinigte Version aktualisieren.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
WordPress Really Simple Security Plugin – 2FA-Bypass
CVE-2026-8293 HochDas WordPress-Plugin „Really Simple Security” vor Version 9.5.10.1 erzwingt die Zwei-Faktor-Authentifizierung in zwei REST-Endpunkten nicht, sodass ein Angreifer mit Kenntnis des Benutzernamens die zweite Authentifizierungsstufe umgehen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
SQL-Injection im WordPress-Plugin Google Review Slider 6.1
CVE-2019-25745 HochDas WordPress-Plugin Google Review Slider 6.1 enthält eine zeitbasierte Blind-SQL-Injection-Schwachstelle. Nicht authentifizierte Angreifer können darüber durch Einschleusen von SQL-Code Datenbankabfragen manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD -
WordPress-Plugin „Booking Package“: Privilegienerweiterung durch Account-Übernahme
CVE-2026-9851 HochDas WordPress-Plugin „Booking Package“ ist in Versionen bis einschliesslich 1.7.16 für Privilegienerweiterung durch Account-Übernahme anfällig, verursacht durch eine fehlende Berechtigungsprüfung in der Funktion updateUs…. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Check Point. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD -
WordPress-Plugin „Essential Blocks“: Server-Side Request Forgery
CVE-2026-10586 HochDas WordPress-Plugin „Essential Blocks – Page Builder for Gutenberg Blocks & Patterns“ ist in allen Versionen bis einschliesslich 6.1.3 für Server-Side Request Forgery (SSRF) anfällig. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence) und WordPress (WPScan). CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD -
WordPress ARMember Premium Plugin – SQL Injection (order-Parameter)
CVE-2026-5073 HochDas WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 anfällig für SQL-Injection über den Parameter „order” der AJAX-Aktion „arm_directory_paging_action”. CVSS-Basiswert: 7.5 (Hoch).
CVSS: 7.5 Publiziert: Referenz: NVD -
Directory Traversal im WordPress-Plugin ARMember (CVE-2026-15302)
CVE-2026-15302 MittelDas WordPress-Plugin ARMember ist in allen Versionen bis einschliesslich 4.0.27 über den HTTP-Header X-FILENAME für Directory Traversal anfällig. Dies ermöglicht es nicht authentifizierten Angreifern, den Pfad zu manipulieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.
CVSS: 5.3 EPSS: 0.53% Publiziert: Referenz: NVD -
WordPress AI Chatbot & Workflow Automation by AIWU: Autorisierungsumgehung (bis 1.4.12)
CVE-2026-6804 MittelDas Plugin AI Chatbot & Workflow Automation by AIWU für WordPress ist in allen Versionen bis einschliesslich 1.4.12 für eine Autorisierungsumgehung anfällig, da bestimmte Berechtigungen nicht korrekt geprüft werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 5.3 EPSS: 0.35% Publiziert: Referenz: NVD -
SQL-Injection im WordPress-Plugin Mail Mint
CVE-2026-12918 MittelDas WordPress-Plugin Mail Mint (Email Marketing, Newsletter, Email Automation & WooCommerce Emails) ist über den Parameter recipients anfällig für generische SQL-Injection. Betroffen sind alle Versionen bis einschliesslich der angegebenen Version. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 4.9 EPSS: 0.32% Publiziert: Referenz: NVD -
FoodBook Lite: Fehlende Autorisierung in registration()
CVE-2026-11802 MittelDas Plugin FoodBook Lite – Online Food Ordering System für WordPress ist in allen Versionen bis einschliesslich 1.5.6 anfällig für fehlende Autorisierung. Betroffen ist die über das Plugin erreichbare registration()-Funktion. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.5.6, sobald verfügbar.
CVSS: 5.3 EPSS: 0.31% Publiziert: Referenz: NVD -
WordPress-Plugin Members – Offenlegung sensibler Informationen
CVE-2026-12426 MittelDas Plugin Members – Membership & User Role Editor für WordPress ist in allen Versionen bis einschliesslich 3.2.22 für die Offenlegung sensibler Informationen anfällig. Ursache ist die Funktion members_filter_protected_posts, über die geschützte Inhalte unbefugt eingesehen werden können. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 3.2.22 aktualisieren.
CVSS: 5.3 EPSS: 0.27% Publiziert: Referenz: NVD -
Stored Cross-Site Scripting im WordPress-Plugin affiliate-toolkit (CVE-2026-15296)
CVE-2026-15296 MittelDas WordPress-Plugin affiliate-toolkit (WP Affiliate Plugin with Amazon) ist über den Shortcode atkp_product für Stored Cross-Site Scripting anfällig. Betroffen sind alle Versionen bis einschliesslich der zuletzt geprüften Version. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.
CVSS: 6.4 EPSS: 0.27% Publiziert: Referenz: NVD -
WordPress Catalyst Connect Zoho CRM Client Portal: SQL-Injection über uid-Parameter
CVE-2025-5017 MittelDas WordPress-Plugin Catalyst Connect Zoho CRM Client Portal ist bis einschliesslich Version 2.2.0 für zeitbasierte SQL-Injection über den Parameter uid anfällig, verursacht durch unzureichende Maskierung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.
CVSS: 4.9 EPSS: 0.26% Publiziert: Referenz: NVD -
WP Hotel Booking (WordPress): Reflected Cross-Site Scripting
CVE-2026-11392 MittelDas Plugin WP Hotel Booking für WordPress ist in allen Versionen bis einschliesslich 2.3.1 für Reflected Cross-Site Scripting anfällig. Ursache ist eine unzureichende Bereinigung der Parameter check_in_date und check_out_date. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.
CVSS: 6.1 EPSS: 0.25% Publiziert: Referenz: NVD -
News Kit Addons For Elementor: Stored Cross-Site Scripting
CVE-2026-11390 MittelDas Plugin News Kit Addons For Elementor für WordPress ist in allen Versionen bis einschliesslich 1.4.6 anfällig für Stored Cross-Site-Scripting über die Widgets Site Logo Title und Single Author Box. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.4.6, sobald verfügbar.
CVSS: 6.4 EPSS: 0.25% Publiziert: Referenz: NVD -
Smart Slider 3 (WordPress) – Offenlegung sensibler Informationen über keyword-Parameter
CVE-2026-12385 MittelDas WordPress-Plugin Smart Slider 3 ist bis einschliesslich Version 3.5.1.37 über den Parameter keyword anfällig für die Offenlegung sensibler Informationen. Dadurch können authentifizierte Benutzer auf Daten zugreifen, die ihnen nicht zustehen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.5.1.37 aktualisieren.
CVSS: 4.3 EPSS: 0.24% Publiziert: Referenz: NVD -
FlowForms für WordPress – Insecure Direct Object Reference
CVE-2026-12400 MittelDas Plugin FlowForms – Conversational Form Builder für WordPress ist in allen Versionen bis einschliesslich 1.1.1 über die Funktion update_form für eine Insecure Direct Object Reference anfällig, verursacht durch eine fehlende Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.3 EPSS: 0.23% Publiziert: Referenz: NVD -
WordPress GW AI Website Builder – unbefugte Datenänderung durch fehlende Berechtigungsprüfung
CVE-2026-1946 MittelDas WordPress-Plugin GW AI Website Builder ist für eine unbefugte Datenänderung anfällig, weil in der Funktion gwaiwebu_gravitywrite_disconnect_handler() eine Berechtigungsprüfung fehlt. Angreifer können dies in allen betroffenen Versionen ausnutzen. Der CVSS-Basiswert liegt bei 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
Arbitrary File Read im WordPress-Plugin LearnPress Backup & Migration
CVE-2026-7565 MittelDas WordPress-Plugin LearnPress – Backup & Migration Tool ist bis einschliesslich Version 4.1.4 über den Parameter import-user-file anfällig für Arbitrary File Read mittels Directory Traversal. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.9 EPSS: 0.21% Publiziert: Referenz: NVD -
CVE-2026-7640 – Stored XSS im WordPress-Plugin WP Customer Area
CVE-2026-7640 MittelDas WordPress-Plugin WP Customer Area ist über das Attribut type des Shortcodes customer-area-protected-content anfällig für Stored Cross-Site-Scripting. Betroffen sind laut Quelle alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 6.4 (Mittel).
CVSS: 6.4 EPSS: 0.20% Publiziert: Referenz: NVD -
WordPress Smart Slider 3: Directory Traversal in replaceHTMLImage
CVE-2026-9197 MittelDas Plugin Smart Slider 3 für WordPress ist in allen Versionen bis einschliesslich 3.5.1.36 über die Funktion replaceHTMLImage für Directory Traversal anfällig, was authentifizierten Angreifern den Zugriff auf ausserhalb des vorgesehenen Verzeichnisses liegende Ressourcen ermöglicht. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.9 EPSS: 0.20% Publiziert: Referenz: NVD -
Premium Addons for Elementor – Gespeichertes XSS über premium_tooltip_text
CVE-2026-12141 MittelDas WordPress-Plugin Premium Addons for Elementor ist über den Parameter premium_tooltip_text für gespeichertes Cross-Site-Scripting (Stored XSS) anfällig. Betroffen sind alle Versionen bis zu der in der Quelle genannten Fassung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten das Plugin auf die bereinigte Version aktualisieren.
CVSS: 4.9 EPSS: 0.19% Publiziert: Referenz: NVD -
Stored Cross-Site Scripting im WordPress-Plugin fresh Podcaster
CVE-2026-1382 MittelDas WordPress-Plugin fresh Podcaster ist bis einschliesslich Version 1.0.7 für Stored Cross-Site Scripting über den Shortcode freshpodcaster anfällig, da Eingaben unzureichend bereinigt werden. Angreifer können dadurch persistente Skripte einschleusen, die im Browser anderer Nutzer ausgeführt werden. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version oberhalb 1.0.7 aktualisieren, sobald verfügbar.
CVSS: 6.4 EPSS: 0.19% Publiziert: Referenz: NVD -
WordPress-Plugin Infinite Scroll – Ajax Load More: Stored XSS über Admin-Einstellungen
CVE-2026-15295 MittelDas WordPress-Plugin Infinite Scroll – Ajax Load More ist in allen Versionen bis einschliesslich 7.0.1 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebehandlung bei den Admin-Einstellungen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.
CVSS: 4.4 EPSS: 0.19% Publiziert: Referenz: NVD -
WP Hotel Booking (WordPress) – unzureichende Prüfung der Datenauthentizität
CVE-2026-11901 MittelDas WordPress-Plugin WP Hotel Booking ist bis einschliesslich Version 2.3.1 anfällig für eine unzureichende Prüfung der Datenauthentizität in der Verarbeitung von web_hook_process_paypal_standard. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 2.3.1 aktualisieren.
CVSS: 5.3 EPSS: 0.18% Publiziert: Referenz: NVD -
WP 2FA (WordPress-Plugin) – fehlende Verifizierung der E-Mail bei der 2FA-Einrichtung
CVE-2026-12988 MittelDas WordPress-Plugin WP 2FA vor Version 3.1.1.2 überprüft nicht, ob die bei der Einrichtung der Zwei-Faktor-Authentifizierung angegebene E-Mail-Adresse tatsächlich dem Nutzer gehört. Ein Angreifer, der bereits Zugangsdaten eines Nutzers erlangt hat, kann dadurch laut Quellbeschreibung die 2FA-Einrichtung auf eine von ihm kontrollierte Adresse umlenken. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: das Plugin auf Version 3.1.1.2 oder neuer aktualisieren.
CVSS: 6.4 EPSS: 0.17% Publiziert: Referenz: NVD -
WordPress-Plugin Avada (Fusion) Builder: Stored XSS ueber Module Title
CVE-2026-12536 MittelDas WordPress-Plugin Avada (Fusion) Builder ist in allen Versionen bis einschliesslich 3.15.5 fuer Stored Cross-Site-Scripting ueber den Parameter Module Title anfaellig. Ursache ist eine unzureichende Bereinigung der Eingaben. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Es liegen keine Hinweise auf aktive Ausnutzung vor. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.15.5 aktualisieren, sobald verfuegbar.
CVSS: 6.4 EPSS: 0.17% Publiziert: Referenz: NVD -
WordPress-Plugin Ultimate Before After Image Slider & Gallery – Stored XSS über BEAF-Slider-Widget
CVE-2025-15665 MittelDas WordPress-Plugin Ultimate Before After Image Slider & Gallery maskiert in Versionen vor 4.7.1 den Wert des Shortcode-Feldes im BEAF-Slider-Widget nicht, bevor er im Frontend ausgegeben wird. Dadurch lässt sich Cross-Site-Scripting (Stored XSS) einschleusen, das im Browser von Seitenbesuchern ausgeführt wird. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Plugin-Version 4.7.1 oder neuer aktualisieren.
EPSS: 0.16% Publiziert: Referenz: NVD -
AI Engine (WordPress-Plugin) vor 3.5.5: Schreiben beliebiger Dateien über ungeprüften Dateinamen
CVE-2026-12511 MittelDas WordPress-Plugin AI Engine bereinigt vor Version 3.5.5 einen von Nutzern übermittelten Dateinamen nicht, bevor es damit eine heruntergeladene Datei schreibt. Dadurch können authentifizierte Nutzer mit mindestens Editor-Rechten angreiferkontrollierte Dateien in das Dateisystem schreiben. Zu dieser Schwachstelle liegen in den Quelldaten weder ein CVSS-Basiswert noch ein EPSS-Wert vor. Empfohlene Massnahme: Plugin auf Version 3.5.5 oder neuer aktualisieren.
EPSS: 0.16% Publiziert: Referenz: NVD -
WordPress LearnPress Backup & Migration Tool: PHP Object Injection
CVE-2026-7566 MittelDas Plugin „LearnPress – Backup & Migration Tool" für WordPress ist in allen Versionen bis einschliesslich 4.1.4 über die Deserialisierung nicht vertrauenswürdiger Eingaben anfällig für PHP Object Injection. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine bereinigte Version aktualisieren.
CVSS: 6.6 EPSS: 0.15% Publiziert: Referenz: NVD -
SureForms (WordPress) – unzureichende Prüfung des Zahlungsbetrags
CVE-2026-11567 MittelDas WordPress-Plugin SureForms vor Version 2.11.1 validiert den Zahlungsbetrag auf Formularen, die einen dynamisch bezogenen (variablen/versteckten) Betrag verwenden, nicht korrekt. Dadurch kann der Zahlungsbetrag von nicht authentifizierten Nutzern manipuliert werden. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: SureForms auf Version 2.11.1 oder neuer aktualisieren.
EPSS: 0.14% Publiziert: Referenz: NVD -
WordPress Ad Inserter: Reflektiertes XSS im iframe-Modus
CVE-2026-9280 MittelDas Plugin „Ad Inserter – Ad Manager & AdSense Ads“ für WordPress ist bis einschliesslich Version 2.8.15 über URL-Parameter im iframe-Modus für reflektiertes Cross-Site-Scripting anfällig, da Eingaben unzureichend behandelt werden. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Update auf eine Version nach 2.8.15 einspielen.
CVSS: 6.1 EPSS: 0.10% Publiziert: Referenz: NVD -
Authorization Bypass im WordPress-Plugin MapPress Maps
CVE-2026-8839 MittelDas WordPress-Plugin MapPress Maps for WordPress ist bis einschliesslich Version 2.96.6 anfällig für einen Authorization Bypass über einen benutzerkontrollierten Schlüssel, verursacht durch eine fehlende Prüfung der Objekt-Eigentümerschaft. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 5.3 EPSS: 0.08% Publiziert: Referenz: NVD -
WordPress rognone Plugin – Reflected XSS via mode-Parameter
CVE-2026-1450 MittelDas WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „mode”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD -
WordPress rognone Plugin – Reflected XSS via a-Parameter
CVE-2026-1451 MittelDas WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „a”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD -
WordPress hiWeb Migration Simple Plugin – Reflected XSS via new_domain
CVE-2026-2425 MittelDas WordPress-Plugin hiWeb Migration Simple ist in allen Versionen bis einschliesslich 2.0.0.1 anfällig für Reflected Cross-Site Scripting über den Parameter „new_domain”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für WordPress (WPScan), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.