1.8 Aktiv ausgenutzte Lücken
CMS & Web-Ecosystems

WordPress (WPScan) Seite 2

CMS & Web-Ecosystems
151
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

151 Reports

Zeige 51 bis 100 von 151

  1. WordPress ARMember Premium Plugin – Unsicherer Passwort-Reset-Mechanismus

    CVE-2026-5076 Kritisch

    Das WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 von einem unsicheren Passwort-Reset-Mechanismus betroffen: Der Plugin-Code speichert den Passwort-Reset-Schlüssel im Klartext. CVSS-Basiswert: 9.8 (Kritisch).

    CVSS: 9.8 Publiziert: Referenz: NVD
  2. WordPress W3 Total Cache: Directory Traversal (bis 2.9.4)

    CVE-2026-9282 Hoch

    Das Plugin W3 Total Cache für WordPress ist in allen Versionen bis einschliesslich 2.9.4 über die Funktion setupSources für Directory Traversal anfällig. Nicht authentifizierte Angreifer können dadurch auf Verzeichnisse ausserhalb des vorgesehenen Pfads zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.68% Publiziert: Referenz: NVD
  3. WordPress LA-Studio Element Kit für Elementor: Local File Inclusion (bis 1.6.1)

    CVE-2026-15338 Hoch

    Das Plugin LA-Studio Element Kit for Elementor für WordPress ist in allen Versionen bis einschliesslich 1.6.1 über die Funktion get_type_template für Local File Inclusion anfällig. Dadurch lassen sich unter Umständen lokale Dateien einbinden und ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.56% Publiziert: Referenz: NVD
  4. WordPress Booking Package Plugin SQL-Injection

    CVE-2026-15335 Hoch

    Das Plugin Booking Package für WordPress ist über den Formularparameter email (form<N>) für generische SQL-Injection anfällig, da Benutzereingaben unzureichend maskiert werden. Betroffen sind alle Versionen bis einschliesslich 1.7.20. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar.

    CVSS: 7.5 EPSS: 0.48% Publiziert: Referenz: NVD
  5. PHP Object Injection im WordPress-Plugin Admin Columns

    CVE-2026-7654 Hoch

    Das WordPress-Plugin Admin Columns ist in Versionen bis einschliesslich 7.0.18 über PHP Object Injection angreifbar, was zu Remote Code Execution führen kann; Ursache ist die Verwendung von unserialize() ohne ausreichende Absicherung. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 7.0.18 aktualisieren.

    CVSS: 8.8 EPSS: 0.47% Publiziert: Referenz: NVD
  6. WordPress WP User Manager: Local File Inclusion (bis 2.9.17)

    CVE-2026-9290 Hoch

    Das WordPress-Plugin WP User Manager – User Profile Builder & Membership ist bis einschliesslich Version 2.9.17 über die Funktion des Profil-Template-Scopes für Local File Inclusion anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.45% Publiziert: Referenz: NVD
  7. WordPress-Plugin MDJM Event Management: Arbitrary File Upload

    CVE-2026-7537 Hoch

    Das Plugin MDJM Event Management für WordPress ist in allen Versionen bis einschliesslich 1.7.8.3 über die Funktion mdjm_send_comm_email für einen Arbitrary File Upload anfällig, da eine Prüfung des Dateityps fehlt. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.2 EPSS: 0.36% Publiziert: Referenz: NVD
  8. SureForms für WordPress – Improper Input Validation

    CVE-2026-15288 Hoch

    Das WordPress-Plugin SureForms – Drag and Drop Form Builder ist in allen Versionen bis einschliesslich 2.2.1 durch eine unzureichende Eingabevalidierung angreifbar. Ursache ist die Verarbeitung von durch den Benutzer bereitgestellten Daten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Plugin auf eine Version über 2.2.1 aktualisieren, sobald verfügbar.

    CVSS: 7.5 EPSS: 0.33% Publiziert: Referenz: NVD
  9. WordPress Content Visibility for Divi Builder – Remote Code Execution

    CVE-2026-1829 Hoch

    Das WordPress-Plugin Content Visibility for Divi Builder ermöglicht in allen Versionen bis einschliesslich 4.02 die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution) über den Shortcode „et_pb_text”. CVSS-Basiswert: 8.8 (Hoch).

    CVSS: 8.8 EPSS: 0.22% Publiziert: Referenz: NVD
  10. WordPress WP Captcha PRO: Arbitrary File Upload

    CVE-2026-5411 Hoch

    Das Plugin WP Captcha PRO (die Premium-Variante des Plugins Advanced Google reCAPTCHA, gleicher Slug) für WordPress ist über einen unzulässigen Datei-Upload angreifbar. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des Plugins auf die bereinigte Version.

    CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD
  11. Newsletters WordPress-Plugin: PHP-Objektinjektion durch unsichere Deserialisierung

    CVE-2026-12583 Hoch

    Das WordPress-Plugin Newsletters vor Version 4.15 verhindert nicht die Deserialisierung nicht vertrauenswürdiger Eingaben, die über ein öffentliches Formular gespeichert werden. Dadurch können nicht authentifizierte Angreifer ein PHP-Objekt einschleusen (PHP Object Injection). CVSS-Basiswert: 8.1 (Hoch). Empfohlene Massnahme: das Plugin auf Version 4.15 oder höher aktualisieren.

    CVSS: 8.1 EPSS: 0.17% Publiziert: Referenz: NVD
  12. WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting

    CVE-2026-8901 Hoch

    Das WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

    CVSS: 7.2 EPSS: 0.16% Publiziert: Referenz: NVD
  13. WordPress All-In-One Security (AIOS): Stored Cross-Site-Scripting

    CVE-2026-8438 Hoch

    Das WordPress-Plugin All-In-One Security (AIOS) – Security and Firewall ist bis einschliesslich Version 5.4.7 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebereinigung. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.13% Publiziert: Referenz: NVD
  14. WordPress SP Project & Document Manager: Fehlende Berechtigungsprüfung erlaubt unbefugten Zugriff

    CVE-2026-10737 Hoch

    Das WordPress-Plugin SP Project & Document Manager ist bis einschliesslich Version 4.71 durch eine fehlende Berechtigungsprüfung in der view_file-Funktion für unbefugten Zugriff anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 4.71.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  15. Authentifizierungsumgehung im WordPress-Plugin WP Captcha PRO

    CVE-2026-5415 Hoch

    Das WordPress-Plugin WP Captcha PRO (die Premium-Version des Plugins Advanced Google reCAPTCHA, beide teilen denselben Slug) ist über eine Authentifizierungsumgehung angreifbar. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  16. WordPress Really Simple Security Plugin – 2FA-Bypass

    CVE-2026-8293 Hoch

    Das WordPress-Plugin „Really Simple Security” vor Version 9.5.10.1 erzwingt die Zwei-Faktor-Authentifizierung in zwei REST-Endpunkten nicht, sodass ein Angreifer mit Kenntnis des Benutzernamens die zweite Authentifizierungsstufe umgehen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  17. SQL-Injection im WordPress-Plugin Google Review Slider 6.1

    CVE-2019-25745 Hoch

    Das WordPress-Plugin Google Review Slider 6.1 enthält eine zeitbasierte Blind-SQL-Injection-Schwachstelle. Nicht authentifizierte Angreifer können darüber durch Einschleusen von SQL-Code Datenbankabfragen manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD
  18. WordPress-Plugin „Booking Package“: Privilegienerweiterung durch Account-Übernahme

    CVE-2026-9851 Hoch

    Das WordPress-Plugin „Booking Package“ ist in Versionen bis einschliesslich 1.7.16 für Privilegienerweiterung durch Account-Übernahme anfällig, verursacht durch eine fehlende Berechtigungsprüfung in der Funktion updateUs…. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Check Point. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD
  19. WordPress-Plugin „Essential Blocks“: Server-Side Request Forgery

    CVE-2026-10586 Hoch

    Das WordPress-Plugin „Essential Blocks – Page Builder for Gutenberg Blocks & Patterns“ ist in allen Versionen bis einschliesslich 6.1.3 für Server-Side Request Forgery (SSRF) anfällig. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence) und WordPress (WPScan). CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD
  20. WordPress ARMember Premium Plugin – SQL Injection (order-Parameter)

    CVE-2026-5073 Hoch

    Das WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 anfällig für SQL-Injection über den Parameter „order” der AJAX-Aktion „arm_directory_paging_action”. CVSS-Basiswert: 7.5 (Hoch).

    CVSS: 7.5 Publiziert: Referenz: NVD
  21. Directory Traversal im WordPress-Plugin ARMember (CVE-2026-15302)

    CVE-2026-15302 Mittel

    Das WordPress-Plugin ARMember ist in allen Versionen bis einschliesslich 4.0.27 über den HTTP-Header X-FILENAME für Directory Traversal anfällig. Dies ermöglicht es nicht authentifizierten Angreifern, den Pfad zu manipulieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.

    CVSS: 5.3 EPSS: 0.53% Publiziert: Referenz: NVD
  22. WordPress AI Chatbot & Workflow Automation by AIWU: Autorisierungsumgehung (bis 1.4.12)

    CVE-2026-6804 Mittel

    Das Plugin AI Chatbot & Workflow Automation by AIWU für WordPress ist in allen Versionen bis einschliesslich 1.4.12 für eine Autorisierungsumgehung anfällig, da bestimmte Berechtigungen nicht korrekt geprüft werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.35% Publiziert: Referenz: NVD
  23. SQL-Injection im WordPress-Plugin Mail Mint

    CVE-2026-12918 Mittel

    Das WordPress-Plugin Mail Mint (Email Marketing, Newsletter, Email Automation & WooCommerce Emails) ist über den Parameter recipients anfällig für generische SQL-Injection. Betroffen sind alle Versionen bis einschliesslich der angegebenen Version. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 4.9 EPSS: 0.32% Publiziert: Referenz: NVD
  24. FoodBook Lite: Fehlende Autorisierung in registration()

    CVE-2026-11802 Mittel

    Das Plugin FoodBook Lite – Online Food Ordering System für WordPress ist in allen Versionen bis einschliesslich 1.5.6 anfällig für fehlende Autorisierung. Betroffen ist die über das Plugin erreichbare registration()-Funktion. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.5.6, sobald verfügbar.

    CVSS: 5.3 EPSS: 0.31% Publiziert: Referenz: NVD
  25. WordPress-Plugin Members – Offenlegung sensibler Informationen

    CVE-2026-12426 Mittel

    Das Plugin Members – Membership & User Role Editor für WordPress ist in allen Versionen bis einschliesslich 3.2.22 für die Offenlegung sensibler Informationen anfällig. Ursache ist die Funktion members_filter_protected_posts, über die geschützte Inhalte unbefugt eingesehen werden können. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 3.2.22 aktualisieren.

    CVSS: 5.3 EPSS: 0.27% Publiziert: Referenz: NVD
  26. Stored Cross-Site Scripting im WordPress-Plugin affiliate-toolkit (CVE-2026-15296)

    CVE-2026-15296 Mittel

    Das WordPress-Plugin affiliate-toolkit (WP Affiliate Plugin with Amazon) ist über den Shortcode atkp_product für Stored Cross-Site Scripting anfällig. Betroffen sind alle Versionen bis einschliesslich der zuletzt geprüften Version. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.

    CVSS: 6.4 EPSS: 0.27% Publiziert: Referenz: NVD
  27. WordPress Catalyst Connect Zoho CRM Client Portal: SQL-Injection über uid-Parameter

    CVE-2025-5017 Mittel

    Das WordPress-Plugin Catalyst Connect Zoho CRM Client Portal ist bis einschliesslich Version 2.2.0 für zeitbasierte SQL-Injection über den Parameter uid anfällig, verursacht durch unzureichende Maskierung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.26% Publiziert: Referenz: NVD
  28. WP Hotel Booking (WordPress): Reflected Cross-Site Scripting

    CVE-2026-11392 Mittel

    Das Plugin WP Hotel Booking für WordPress ist in allen Versionen bis einschliesslich 2.3.1 für Reflected Cross-Site Scripting anfällig. Ursache ist eine unzureichende Bereinigung der Parameter check_in_date und check_out_date. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.

    CVSS: 6.1 EPSS: 0.25% Publiziert: Referenz: NVD
  29. News Kit Addons For Elementor: Stored Cross-Site Scripting

    CVE-2026-11390 Mittel

    Das Plugin News Kit Addons For Elementor für WordPress ist in allen Versionen bis einschliesslich 1.4.6 anfällig für Stored Cross-Site-Scripting über die Widgets Site Logo Title und Single Author Box. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.4.6, sobald verfügbar.

    CVSS: 6.4 EPSS: 0.25% Publiziert: Referenz: NVD
  30. Smart Slider 3 (WordPress) – Offenlegung sensibler Informationen über keyword-Parameter

    CVE-2026-12385 Mittel

    Das WordPress-Plugin Smart Slider 3 ist bis einschliesslich Version 3.5.1.37 über den Parameter keyword anfällig für die Offenlegung sensibler Informationen. Dadurch können authentifizierte Benutzer auf Daten zugreifen, die ihnen nicht zustehen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.5.1.37 aktualisieren.

    CVSS: 4.3 EPSS: 0.24% Publiziert: Referenz: NVD
  31. FlowForms für WordPress – Insecure Direct Object Reference

    CVE-2026-12400 Mittel

    Das Plugin FlowForms – Conversational Form Builder für WordPress ist in allen Versionen bis einschliesslich 1.1.1 über die Funktion update_form für eine Insecure Direct Object Reference anfällig, verursacht durch eine fehlende Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.3 EPSS: 0.23% Publiziert: Referenz: NVD
  32. WordPress GW AI Website Builder – unbefugte Datenänderung durch fehlende Berechtigungsprüfung

    CVE-2026-1946 Mittel

    Das WordPress-Plugin GW AI Website Builder ist für eine unbefugte Datenänderung anfällig, weil in der Funktion gwaiwebu_gravitywrite_disconnect_handler() eine Berechtigungsprüfung fehlt. Angreifer können dies in allen betroffenen Versionen ausnutzen. Der CVSS-Basiswert liegt bei 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  33. Arbitrary File Read im WordPress-Plugin LearnPress Backup & Migration

    CVE-2026-7565 Mittel

    Das WordPress-Plugin LearnPress – Backup & Migration Tool ist bis einschliesslich Version 4.1.4 über den Parameter import-user-file anfällig für Arbitrary File Read mittels Directory Traversal. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.21% Publiziert: Referenz: NVD
  34. CVE-2026-7640 – Stored XSS im WordPress-Plugin WP Customer Area

    CVE-2026-7640 Mittel

    Das WordPress-Plugin WP Customer Area ist über das Attribut type des Shortcodes customer-area-protected-content anfällig für Stored Cross-Site-Scripting. Betroffen sind laut Quelle alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 6.4 (Mittel).

    CVSS: 6.4 EPSS: 0.20% Publiziert: Referenz: NVD
  35. WordPress Smart Slider 3: Directory Traversal in replaceHTMLImage

    CVE-2026-9197 Mittel

    Das Plugin Smart Slider 3 für WordPress ist in allen Versionen bis einschliesslich 3.5.1.36 über die Funktion replaceHTMLImage für Directory Traversal anfällig, was authentifizierten Angreifern den Zugriff auf ausserhalb des vorgesehenen Verzeichnisses liegende Ressourcen ermöglicht. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.20% Publiziert: Referenz: NVD
  36. Premium Addons for Elementor – Gespeichertes XSS über premium_tooltip_text

    CVE-2026-12141 Mittel

    Das WordPress-Plugin Premium Addons for Elementor ist über den Parameter premium_tooltip_text für gespeichertes Cross-Site-Scripting (Stored XSS) anfällig. Betroffen sind alle Versionen bis zu der in der Quelle genannten Fassung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten das Plugin auf die bereinigte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.19% Publiziert: Referenz: NVD
  37. Stored Cross-Site Scripting im WordPress-Plugin fresh Podcaster

    CVE-2026-1382 Mittel

    Das WordPress-Plugin fresh Podcaster ist bis einschliesslich Version 1.0.7 für Stored Cross-Site Scripting über den Shortcode freshpodcaster anfällig, da Eingaben unzureichend bereinigt werden. Angreifer können dadurch persistente Skripte einschleusen, die im Browser anderer Nutzer ausgeführt werden. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version oberhalb 1.0.7 aktualisieren, sobald verfügbar.

    CVSS: 6.4 EPSS: 0.19% Publiziert: Referenz: NVD
  38. WordPress-Plugin Infinite Scroll – Ajax Load More: Stored XSS über Admin-Einstellungen

    CVE-2026-15295 Mittel

    Das WordPress-Plugin Infinite Scroll – Ajax Load More ist in allen Versionen bis einschliesslich 7.0.1 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebehandlung bei den Admin-Einstellungen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

    CVSS: 4.4 EPSS: 0.19% Publiziert: Referenz: NVD
  39. WP Hotel Booking (WordPress) – unzureichende Prüfung der Datenauthentizität

    CVE-2026-11901 Mittel

    Das WordPress-Plugin WP Hotel Booking ist bis einschliesslich Version 2.3.1 anfällig für eine unzureichende Prüfung der Datenauthentizität in der Verarbeitung von web_hook_process_paypal_standard. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 2.3.1 aktualisieren.

    CVSS: 5.3 EPSS: 0.18% Publiziert: Referenz: NVD
  40. WP 2FA (WordPress-Plugin) – fehlende Verifizierung der E-Mail bei der 2FA-Einrichtung

    CVE-2026-12988 Mittel

    Das WordPress-Plugin WP 2FA vor Version 3.1.1.2 überprüft nicht, ob die bei der Einrichtung der Zwei-Faktor-Authentifizierung angegebene E-Mail-Adresse tatsächlich dem Nutzer gehört. Ein Angreifer, der bereits Zugangsdaten eines Nutzers erlangt hat, kann dadurch laut Quellbeschreibung die 2FA-Einrichtung auf eine von ihm kontrollierte Adresse umlenken. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: das Plugin auf Version 3.1.1.2 oder neuer aktualisieren.

    CVSS: 6.4 EPSS: 0.17% Publiziert: Referenz: NVD
  41. WordPress-Plugin Avada (Fusion) Builder: Stored XSS ueber Module Title

    CVE-2026-12536 Mittel

    Das WordPress-Plugin Avada (Fusion) Builder ist in allen Versionen bis einschliesslich 3.15.5 fuer Stored Cross-Site-Scripting ueber den Parameter Module Title anfaellig. Ursache ist eine unzureichende Bereinigung der Eingaben. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Es liegen keine Hinweise auf aktive Ausnutzung vor. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.15.5 aktualisieren, sobald verfuegbar.

    CVSS: 6.4 EPSS: 0.17% Publiziert: Referenz: NVD
  42. WordPress-Plugin Ultimate Before After Image Slider & Gallery – Stored XSS über BEAF-Slider-Widget

    CVE-2025-15665 Mittel

    Das WordPress-Plugin Ultimate Before After Image Slider & Gallery maskiert in Versionen vor 4.7.1 den Wert des Shortcode-Feldes im BEAF-Slider-Widget nicht, bevor er im Frontend ausgegeben wird. Dadurch lässt sich Cross-Site-Scripting (Stored XSS) einschleusen, das im Browser von Seitenbesuchern ausgeführt wird. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Plugin-Version 4.7.1 oder neuer aktualisieren.

    EPSS: 0.16% Publiziert: Referenz: NVD
  43. AI Engine (WordPress-Plugin) vor 3.5.5: Schreiben beliebiger Dateien über ungeprüften Dateinamen

    CVE-2026-12511 Mittel

    Das WordPress-Plugin AI Engine bereinigt vor Version 3.5.5 einen von Nutzern übermittelten Dateinamen nicht, bevor es damit eine heruntergeladene Datei schreibt. Dadurch können authentifizierte Nutzer mit mindestens Editor-Rechten angreiferkontrollierte Dateien in das Dateisystem schreiben. Zu dieser Schwachstelle liegen in den Quelldaten weder ein CVSS-Basiswert noch ein EPSS-Wert vor. Empfohlene Massnahme: Plugin auf Version 3.5.5 oder neuer aktualisieren.

    EPSS: 0.16% Publiziert: Referenz: NVD
  44. WordPress LearnPress Backup & Migration Tool: PHP Object Injection

    CVE-2026-7566 Mittel

    Das Plugin „LearnPress – Backup & Migration Tool" für WordPress ist in allen Versionen bis einschliesslich 4.1.4 über die Deserialisierung nicht vertrauenswürdiger Eingaben anfällig für PHP Object Injection. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 6.6 EPSS: 0.15% Publiziert: Referenz: NVD
  45. SureForms (WordPress) – unzureichende Prüfung des Zahlungsbetrags

    CVE-2026-11567 Mittel

    Das WordPress-Plugin SureForms vor Version 2.11.1 validiert den Zahlungsbetrag auf Formularen, die einen dynamisch bezogenen (variablen/versteckten) Betrag verwenden, nicht korrekt. Dadurch kann der Zahlungsbetrag von nicht authentifizierten Nutzern manipuliert werden. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: SureForms auf Version 2.11.1 oder neuer aktualisieren.

    EPSS: 0.14% Publiziert: Referenz: NVD
  46. WordPress Ad Inserter: Reflektiertes XSS im iframe-Modus

    CVE-2026-9280 Mittel

    Das Plugin „Ad Inserter – Ad Manager & AdSense Ads“ für WordPress ist bis einschliesslich Version 2.8.15 über URL-Parameter im iframe-Modus für reflektiertes Cross-Site-Scripting anfällig, da Eingaben unzureichend behandelt werden. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Update auf eine Version nach 2.8.15 einspielen.

    CVSS: 6.1 EPSS: 0.10% Publiziert: Referenz: NVD
  47. Authorization Bypass im WordPress-Plugin MapPress Maps

    CVE-2026-8839 Mittel

    Das WordPress-Plugin MapPress Maps for WordPress ist bis einschliesslich Version 2.96.6 anfällig für einen Authorization Bypass über einen benutzerkontrollierten Schlüssel, verursacht durch eine fehlende Prüfung der Objekt-Eigentümerschaft. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.08% Publiziert: Referenz: NVD
  48. WordPress rognone Plugin – Reflected XSS via mode-Parameter

    CVE-2026-1450 Mittel

    Das WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „mode”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD
  49. WordPress rognone Plugin – Reflected XSS via a-Parameter

    CVE-2026-1451 Mittel

    Das WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „a”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD
  50. WordPress hiWeb Migration Simple Plugin – Reflected XSS via new_domain

    CVE-2026-2425 Mittel

    Das WordPress-Plugin hiWeb Migration Simple ist in allen Versionen bis einschliesslich 2.0.0.1 anfällig für Reflected Cross-Site Scripting über den Parameter „new_domain”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für WordPress (WPScan), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog