<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: WordPress (Wordfence)</title>
    <link>https://feed.xonatec.ch/produkte/wordpress-wordfence</link>
    <description>Priorisierte Schwachstellen-Reports für WordPress (Wordfence). Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/wordpress-wordfence.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2020-25213 — WordPress File Manager Plugin – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-25213</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-25213</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin File Manager ermöglicht Angreifern die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>🔴 CVE-2020-11738 — WordPress Snap Creek Duplicator Plugin – Datei-Download</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-11738</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-11738</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Snap Creek Duplicator enthält eine Schwachstelle, die einen nicht autorisierten Datei-Download ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>🔴 CVE-2026-41940 — WebPros cPanel &amp; WHM / WP2 – Fehlende Authentifizierung für kritische Funktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41940</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41940</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In WebPros cPanel &amp; WHM sowie WP2 (WordPress Squared) wurde eine Schwachstelle durch fehlende Authentifizierung bei einer kritischen Funktion gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 90.8 %.

Severity: Aktiv ausgenutzt · EPSS: 90.8% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>🔴 CVE-2019-9978 — WordPress Social Warfare Plugin – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-9978</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-9978</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Social Warfare weist eine Cross-Site-Scripting-Schwachstelle (XSS) auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 88.7 %.

Severity: Aktiv ausgenutzt · EPSS: 88.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8713 — WordPress Avada (Fusion) Builder – Beliebiges Löschen von Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8713</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8713</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Avada-(Fusion-)Builder-Plugin für WordPress ist durch unzureichende Prüfung des Dateipfads in der Funktion maybe_delete_files für das beliebige Löschen von Dateien anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich der korrigierten Fassung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte korrigierte Version aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 1.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15158 — WordPress-Plugin Blocksy Companion: Beliebiger Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15158</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15158</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Blocksy Companion ist bis einschliesslich Version 2.1.46 für den Upload beliebiger Dateien anfällig. Ursache ist die Funktion save_attachments in der Custom-Fonts-Erweiterung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 2.1.46 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.0%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-6382 — WordPress File-Manager-Plugins – kritische Schwachstelle in mehreren Erweiterungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6382</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6382</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Mehrere WordPress-Datei-Manager-Plugins sind betroffen: FileOrganizer vor 1.1.9, Advanced File Manager vor 5.4.12, File Manager Pro vor 2.1.1 sowie File Manager vor 8.0.4. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: die betroffenen Plugins auf die jeweils korrigierte Version aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.9%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-7515 — BetterDocs Pro (WordPress): Local File Inclusion über den Parameter doc_style</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7515</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7515</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin BetterDocs Pro ist über den Parameter doc_style für eine Local File Inclusion anfällig. Betroffen sind laut Quelle alle Versionen bis einschliesslich 3.8.0; nicht authentifizierte Angreifer können die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.9%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2024-58348 — WordPress Background Image Cropper 1.2: Remote Code Execution über ups.php</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-58348</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-58348</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Background Image Cropper in Version 1.2 enthält eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können über den Endpunkt ups.php beliebige Dateien hochladen. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.8%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-14345 — WordPress-Plugin WPFunnels: Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14345</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14345</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WPFunnels – Funnel Builder for WooCommerce with Checkout &amp; One Click Upsell ist bis einschliesslich Version 3.12.7 für Remote Code Execution über den Parameter &apos;postData&apos; anfällig. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Plugin auf eine Version neuer als 3.12.7 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15282 — WordPress Instant Appointment: Upload beliebiger Dateien durch fehlende Typprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15282</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15282</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Instant Appointment erlaubt den Upload beliebiger Dateien, weil die Funktion insapp_upload_image_as_attachment den Dateityp nicht validiert. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der im NVD-Eintrag genannten. Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9725 — WordPress Printcart Web to Print (WooCommerce): Beliebiges Löschen von Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9725</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9725</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Printcart Web to Print Product Designer for WooCommerce ist in Versionen bis einschliesslich 2.5.2 für das Löschen beliebiger Dateien anfällig. Ursache ist eine unzureichende Pfadvalidierung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine Version neuer als 2.5.2 aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-14487 — WordPress Simple Coherent Form: Löschen beliebiger Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14487</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14487</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Simple Coherent Form ist anfällig für das Löschen beliebiger Dateien. Ursache ist eine unzureichende Validierung des Dateipfads in der Funktion removeUploadDir; betroffen sind alle Versionen bis einschliesslich 2.x. Der CVSS-Vektor weist die Lücke als ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus, mit hoher Auswirkung auf Integrität und Verfügbarkeit. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2024-58349 — WordPress-Theme Travelscape 1.0.3: Arbitrary File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-58349</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-58349</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Theme Travelscape in Version 1.0.3 enthält eine Schwachstelle beim Datei-Upload. Durch unzureichende Validierung in der Upload-Funktion des Themes können nicht authentifizierte Angreifer beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12415 — WordPress-Plugin Invoice Generator: Rechteausweitung über ungeschützte AJAX-Aktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12415</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12415</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Invoice Generator ist anfällig für eine Rechteausweitung, weil die AJAX-Aktion pravel_invoice_edit_account() keine Berechtigungsprüfung durchführt. Nicht ausreichend berechtigte Aufrufer können die Aktion dadurch auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte fehlerbereinigte Version aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2018-25436 — WordPress-Plugin Baggage Freight Shipping Australia 0.1.0 – unbeschränkter Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-25436</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-25436</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Baggage Freight Shipping Australia in Version 0.1.0 enthält eine Schwachstelle für unbeschränkten Datei-Upload: Nicht authentifizierte Angreifer können über die Upload-Funktion beliebige Dateien hochladen. CVSS-Basiswert: 9.8 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – Ausnutzung über das Netz ohne Authentifizierung und ohne Benutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Die Lücke wird von den WordPress-Quellen Patchstack, Wordfence und WPScan geführt.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11551 — WordPress-Plugin Branda bis 3.4.29: Privilege Escalation durch Account-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11551</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11551</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Branda ist in allen Versionen bis einschliesslich 3.4.29 für eine Rechteausweitung per Account-Übernahme anfällig. Ursache ist laut Quelle, dass das Plugin die Identität eines Benutzers nicht korrekt validiert. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2023-54352 — WordPress Seotheme: Remote Code Execution durch Upload schädlicher Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-54352</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-54352</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Theme Seotheme besteht eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können beliebigen PHP-Code ausführen, indem sie schädliche Dateien in das Theme-Verzeichnis hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene WordPress-Installationen sollten gemäss NVD-Eintrag geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-58480 — Blocksy Companion Pro für WordPress: Nicht authentifizierter Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58480</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58480</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Blocksy Companion Pro vor Version 2.1.47 enthält laut NVD eine Schwachstelle, die einen nicht authentifizierten Upload beliebiger Dateien erlaubt. Angreifer können durch Umgehung der Endungsprüfung ausführbare Dateien hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-14245 — WordPress-Plugin miniOrange OTP Login: Authentifizierungsumgehung bis zur Admin-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14245</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14245</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin miniOrange OTP Login, Verification and SMS Notifications erlaubt eine Umgehung der Authentifizierung, die bis zur Übernahme des Administratorkontos führen kann. Betroffen sind alle Versionen bis einschliesslich der in der Meldung genannten Fassung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2017-20251 — WordPress-Plugin Insert PHP: PHP-Code-Injection über Shortcodes</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-20251</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-20251</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Insert PHP enthält in Versionen vor 3.3.1 eine PHP-Code-Injection-Schwachstelle. Nicht authentifizierte Angreifer können durch Einschleusen präparierter Shortcodes beliebigen PHP-Code ausführen. CVSS-Basiswert: 9.8 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf Version 3.3.1 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-5524 — Divi Form Builder (WordPress): Beliebiger Datei-Upload führt zu Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5524</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5524</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Divi Form Builder ist für einen beliebigen Datei-Upload anfällig, der zu Remote Code Execution führen kann. Ursache ist eine unzureichende Prüfung der Dateiendung; betroffen sind laut Quelle alle Versionen bis einschliesslich 5.1.8. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-14894 — WordPress-Plugin Super Forms: Upload beliebiger Dateien über submit_form</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14894</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14894</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Super Forms (Drag &amp; Drop Form Builder) erlaubt über die Funktion submit_form das Hochladen beliebiger Dateien, da eine Validierung fehlt. Betroffen sind alle Versionen bis einschliesslich 6.3.313. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2025-6254 — WordPress Doctreat Core: Privilegienausweitung bis Version 1.6.8</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-6254</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-6254</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Doctreat Core ist in allen Versionen bis einschliesslich 1.6.8 anfällig für Privilegienausweitung, weil die Funktion doctreat_process_registration() Registrierungen nicht ausreichend einschränkt. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12761 — WordPress miniOrange Social Login and Register: Authentifizierungsumgehung mit Kontoübernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12761</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12761</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) ist für eine Authentifizierungsumgehung anfällig, die zur Übernahme von Konten führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist der Angriff ohne Rechte und ohne Nutzerinteraktion über das Netz möglich. Betroffene Installationen sollten auf eine Version oberhalb der im Advisory genannten Versionsspanne aktualisiert werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: google-chromeos-chrome, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>Google ChromeOS/Chrome</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12417 — WordPress-Plugin SignUp &amp; SignIn: Authentifizierungsumgehung über Passwort-Reset</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12417</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12417</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin SignUp &amp; SignIn prüft den Passwort-Reset unzureichend und erlaubt dadurch eine Umgehung der Authentifizierung bis hin zur Kontoübernahme. Betroffen sind alle Versionen bis einschliesslich 1.0.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9711 — WordPress-Plugin EventON bis 5.0.11: SQL-Injection über den Parameter search</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9711</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9711</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin EventON (Virtual Event Calendar, Full-Version) ist laut NVD bis einschliesslich Version 5.0.11 anfällig für eine SQL-Injection über den WordPress-Parameter search. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan). Empfohlene Massnahme: auf eine Version neuer als 5.0.11 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2025-69129 — WordPress &amp; WooCommerce Scraper Plugin – Unauthenticated Arbitrary File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-69129</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-69129</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin &quot;WordPress &amp; WooCommerce Scraper Plugin, Import Data from Any Site&quot; besteht bis einschliesslich Version 1.0.7 eine Schwachstelle, die nicht authentifizierten Angreifern das Hochladen beliebiger Dateien erlaubt. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das Plugin auf eine Version oberhalb 1.0.7 aktualisieren bzw. bis zur Verfügbarkeit eines Fixes deaktivieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2019-25763 — WordPress Ultimate Addons for Beaver Builder: Authentifizierungsumgehung</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25763</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25763</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Ultimate Addons for Beaver Builder in Version 1.2.4.1 enthält eine Schwachstelle zur Authentifizierungsumgehung. Angreifer können sich laut Quelle über die Funktion des Social-Media-Login-Formulars unberechtigten Zugang verschaffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da die Schwachstelle ohne vorherige Anmeldung ausgenutzt werden kann, sollten betroffene Installationen vorrangig geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9067 — WordPress-Plugin „Schema &amp; Structured Data for WP &amp; AMP&quot;: Ungeprüfter Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9067</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9067</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Schema &amp; Structured Data for WP &amp; AMP&quot; prüft vor Version 1.60 in seinen Frontend-AJAX-Handlern für Datei-Uploads keine Benutzerberechtigungen und validiert den tatsächlichen Inhalt hochgeladener Dateien nicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Plugin-Version 1.60.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-25470 — WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25470</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25470</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: n-able, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>N-able</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-6070 — WordPress WP-BusinessDirectory – nicht authentifizierte Arbitrary File Deletion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6070</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6070</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP-BusinessDirectory ist laut NVD in Versionen bis einschliesslich 4.0.1 für nicht authentifiziertes beliebiges Löschen von Dateien (Arbitrary File Deletion) anfällig, verursacht durch eine unzureichende Pfadvalidierung in der remove()-Funktion. Der Angriff ist netzwerkbasiert ohne Authentifizierung möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-47365 — WordPress Toolkit in cPanel &amp; WHM: Argument Injection umgeht Mandantentrennung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47365</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47365</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress Toolkit vor Version 6.11.0, wie es in cPanel &amp; WHM eingesetzt wird, besteht eine Argument-Injection-Schwachstelle. Sie erlaubt es entfernten, authentifizierten Benutzern, die mandantenübergreifende Autorisierung zu umgehen und beliebige wp-toolkit-CLI-Aufrufe auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: WordPress Toolkit auf 6.11.0 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11387 — WordPress-Plugin SMS Alert für WooCommerce: Rechteausweitung durch Account-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11387</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11387</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „SMS Alert – SMS &amp; OTP for WooCommerce, Order Notifications &amp; Abandoned Cart Recovery&quot; ist laut Quellbeschreibung für eine Rechteausweitung per Account-Übernahme anfällig. Betroffen sind alle Versionen bis einschliesslich der in der Quelle genannten Fassung. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12153 — WordPress WP Learn Manager: Autorisierungsumgehung bis Version 1.1.8</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12153</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12153</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Learn Manager ist in allen Versionen bis einschliesslich 1.1.8 anfällig für eine Autorisierungsumgehung, weil das Plugin nicht ausreichend prüft, ob ein Benutzer berechtigt ist. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12416 — WordPress-Plugin Invoice Generator: Account-Übernahme über Passwort-Reset</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12416</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12416</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Invoice Generator ist in allen Versionen bis einschliesslich 1.0.0 für eine Account-Übernahme per Passwort-Reset anfällig. Ursache ist laut Quellbeschreibung die Funktion pravel_invoice_change_password(). Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15300 — GEO my WP: SQL-Injection über die Parameter distance, lat und lng</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15300</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15300</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin GEO my WP ist in den Versionen bis einschliesslich 4.5.4 für SQL-Injection über die Parameter &apos;distance&apos;, &apos;lat&apos; und &apos;lng&apos; anfällig. Die Werte wurden laut Quelle aus $_SERVER[&apos;QUERY_STRING&apos;] gelesen und ungeprüft weiterverarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 4.5.4 aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12073 — WordPress-Plugin ProfileGrid: Rechteausweitung durch Kontoübernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12073</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12073</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin ProfileGrid (User Profiles, Groups and Communities) erlaubt eine Rechteausweitung durch Übernahme fremder Konten. Betroffen sind alle Versionen bis einschliesslich 5.9.9.5. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12375 — WordPress-Plugin Uncanny Automator Pro: Schadcode über kompromittierte Verteilinfrastruktur ausgeliefert</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12375</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12375</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin uncanny-automator-pro wurde in Versionen vor 7.3.0.6 mit Schadcode ausgeliefert, nachdem die Update- beziehungsweise Verteilinfrastruktur des Herstellers kompromittiert worden war. Es handelt sich damit um einen Supply-Chain-Vorfall in der Plugin-Auslieferung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf uncanny-automator-pro 7.3.0.6 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-49776 — GPTranslate für WordPress: unauthentifizierte SQL-Injection in Versionen bis 2.32.6</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49776</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49776</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin GPTranslate – Multilingual AI Translation enthält in den Versionen bis einschliesslich 2.32.6 eine SQL-Injection, die ohne Authentifizierung ausgenutzt werden kann. Angreifer können darüber Datenbankabfragen manipulieren. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 2.32.6 aktualisieren.

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8935 — WP MAPS PRO (WordPress): Unauthentifizierte AJAX-Aktion mit öffentlich einsehbarer Nonce</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8935</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8935</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP MAPS PRO vor Version 6.1.1 registriert eine AJAX-Aktion, die ohne Authentifizierung aufrufbar ist. Die benötigte Nonce wird auf jeder Frontend-Seite, die das Karten-Skript einbindet, öffentlich ausgegeben; die Aktion wird anschliessend bedingungslos ausgeführt. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Schwachstelle als über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf WP MAPS PRO 6.1.1 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9701 — Eventer (WordPress): Unsicherer Passwort-Reset-Mechanismus</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9701</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9701</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Eventer weist einen unsicheren Passwort-Reset-Mechanismus auf: Der Reset-Schlüssel wird im Klartext gespeichert. Betroffen sind laut Quelle alle Versionen bis einschliesslich 4.4.2. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist auf eine Ausnutzung über das Netzwerk ohne Rechte und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-10580 — WordPress-Plugin Hippoo Mobile App for WooCommerce: Authentifizierungsumgehung mit Admin-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10580</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10580</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Hippoo Mobile App for WooCommerce ist in allen Versionen bis einschliesslich 1.9.4 für eine Authentifizierungsumgehung anfällig, die bis zur Übernahme des Administratorkontos führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 1.9.4 aktualisieren, sobald verfügbar; die Quelldaten enthalten keine weitergehende Massnahmenempfehlung.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-52715 — GEO my WordPress: Nicht authentifizierte SQL-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-52715</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-52715</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin GEO my WordPress besteht in den Versionen bis einschliesslich 4.5.5 eine SQL-Injection-Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 4.5.5 aktualisieren.

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-4375 — WordPress DoLeads Integrator / wp2epub: Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4375</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4375</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die WordPress-Plugins DoLeads Integrator (bis Version 0.65) und wp2epub (bis Version 0.65) wurden dazu genutzt, Remote Code Execution zu erreichen, sobald sie einem Blog hinzugefügt werden. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11964 — WordPress User Registration &amp; Membership: Ungeprüfte Webhook-Benachrichtigungen von Zahlungsanbietern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11964</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11964</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin User Registration &amp; Membership vor Version 5.2.2 prüft die Echtheit eingehender Webhook-Benachrichtigungen von Zahlungsanbietern nicht, bevor es auf sie reagiert. Nicht authentifizierte Angreifer können dadurch gefälschte Benachrichtigungen einschleusen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Plugin-Version 5.2.2 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2019-25727 — WordPress-Plugin ad manager wd 1.0.11: Arbitrary File Download</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25727</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25727</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin ad manager wd in Version 1.0.11 enthält eine Schwachstelle zum unberechtigten Herunterladen beliebiger Dateien. Nicht authentifizierte Angreifende können über den manipulierbaren path-Parameter sensible Dateien vom Server abrufen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Prüfen Sie, ob das Plugin in Ihren WordPress-Installationen eingesetzt wird.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8206 — WordPress Kirki Freeform Page Builder Plugin – Privilege Escalation via Account Takeover</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8206</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8206</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Kirki – Freeform Page Builder, Website Builder &amp; Customizer” ist in den Versionen 6.0.0 bis 6.0.6 anfällig für Privilege Escalation durch Account Takeover. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11563 — Word Count and Social Shares (WordPress-Plugin): Beliebiges Löschen von Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11563</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11563</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Word Count and Social Shares“ validiert bis einschliesslich Version 1.0 einen benutzerseitig übergebenen Dateipfad vor dem Löschen nicht und verfügt zudem weder über eine ordentliche Berechtigungsprüfung noch über CSRF-Schutz. Dadurch können bereits authentifizierte Nutzer beliebige Dateien löschen. CVSS-Basiswert: 9.6 (Kritisch). Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar, und den Zugriff bis dahin einschränken.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2019-25738 — WordPress Hybrid Composer 1.4.6: Unauthentifizierte Änderung von WordPress-Optionen</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25738</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25738</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>WordPress Hybrid Composer 1.4.6 enthält eine Schwachstelle, über die nicht authentifizierte Angreifer WordPress-Optionen verändern können, indem sie die Aktion hc_ajax_save_option ausnutzen. Die Lücke ist laut CVSS-Vektor über das Netzwerk und ohne Authentisierung oder Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-5076 — WordPress ARMember Premium Plugin – Unsicherer Passwort-Reset-Mechanismus</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5076</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5076</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 von einem unsicheren Passwort-Reset-Mechanismus betroffen: Der Plugin-Code speichert den Passwort-Reset-Schlüssel im Klartext. CVSS-Basiswert: 9.8 (Kritisch).

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9282 — WordPress W3 Total Cache: Directory Traversal (bis 2.9.4)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9282</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9282</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin W3 Total Cache für WordPress ist in allen Versionen bis einschliesslich 2.9.4 über die Funktion setupSources für Directory Traversal anfällig. Nicht authentifizierte Angreifer können dadurch auf Verzeichnisse ausserhalb des vorgesehenen Pfads zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.7%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15338 — WordPress LA-Studio Element Kit für Elementor: Local File Inclusion (bis 1.6.1)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15338</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15338</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin LA-Studio Element Kit for Elementor für WordPress ist in allen Versionen bis einschliesslich 1.6.1 über die Funktion get_type_template für Local File Inclusion anfällig. Dadurch lassen sich unter Umständen lokale Dateien einbinden und ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.6%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15335 — WordPress Booking Package Plugin SQL-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15335</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15335</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin Booking Package für WordPress ist über den Formularparameter email (form&lt;N&gt;) für generische SQL-Injection anfällig, da Benutzereingaben unzureichend maskiert werden. Betroffen sind alle Versionen bis einschliesslich 1.7.20. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren, sobald verfügbar.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-7654 — PHP Object Injection im WordPress-Plugin Admin Columns</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7654</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7654</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Admin Columns ist in Versionen bis einschliesslich 7.0.18 über PHP Object Injection angreifbar, was zu Remote Code Execution führen kann; Ursache ist die Verwendung von unserialize() ohne ausreichende Absicherung. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 7.0.18 aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-9290 — WordPress WP User Manager: Local File Inclusion (bis 2.9.17)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9290</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9290</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP User Manager – User Profile Builder &amp; Membership ist bis einschliesslich Version 2.9.17 über die Funktion des Profil-Template-Scopes für Local File Inclusion anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-7537 — WordPress-Plugin MDJM Event Management: Arbitrary File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7537</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7537</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin MDJM Event Management für WordPress ist in allen Versionen bis einschliesslich 1.7.8.3 über die Funktion mdjm_send_comm_email für einen Arbitrary File Upload anfällig, da eine Prüfung des Dateityps fehlt. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.4%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15288 — SureForms für WordPress – Improper Input Validation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15288</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15288</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin SureForms – Drag and Drop Form Builder ist in allen Versionen bis einschliesslich 2.2.1 durch eine unzureichende Eingabevalidierung angreifbar. Ursache ist die Verarbeitung von durch den Benutzer bereitgestellten Daten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Plugin auf eine Version über 2.2.1 aktualisieren, sobald verfügbar.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-1829 — WordPress Content Visibility for Divi Builder – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1829</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1829</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Content Visibility for Divi Builder ermöglicht in allen Versionen bis einschliesslich 4.02 die Ausführung von beliebigem Code aus der Ferne (Remote Code Execution) über den Shortcode „et_pb_text”. CVSS-Basiswert: 8.8 (Hoch).

Severity: Hoch · CVSS: 8.8 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-5411 — WordPress WP Captcha PRO: Arbitrary File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5411</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5411</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin WP Captcha PRO (die Premium-Variante des Plugins Advanced Google reCAPTCHA, gleicher Slug) für WordPress ist über einen unzulässigen Datei-Upload angreifbar. Betroffen sind laut Quelldaten alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des Plugins auf die bereinigte Version.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.2%

Betroffene Produkte: google-chromeos-chrome, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>Google ChromeOS/Chrome</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12583 — Newsletters WordPress-Plugin: PHP-Objektinjektion durch unsichere Deserialisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12583</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12583</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Newsletters vor Version 4.15 verhindert nicht die Deserialisierung nicht vertrauenswürdiger Eingaben, die über ein öffentliches Formular gespeichert werden. Dadurch können nicht authentifizierte Angreifer ein PHP-Objekt einschleusen (PHP Object Injection). CVSS-Basiswert: 8.1 (Hoch). Empfohlene Massnahme: das Plugin auf Version 4.15 oder höher aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-8901 — WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8901</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8901</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.2%

Betroffene Produkte: phoenix-contact, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>Phoenix Contact</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8438 — WordPress All-In-One Security (AIOS): Stored Cross-Site-Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8438</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8438</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin All-In-One Security (AIOS) – Security and Firewall ist bis einschliesslich Version 5.4.7 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebereinigung. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-10737 — WordPress SP Project &amp; Document Manager: Fehlende Berechtigungsprüfung erlaubt unbefugten Zugriff</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10737</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10737</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin SP Project &amp; Document Manager ist bis einschliesslich Version 4.71 durch eine fehlende Berechtigungsprüfung in der view_file-Funktion für unbefugten Zugriff anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 4.71.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-5415 — Authentifizierungsumgehung im WordPress-Plugin WP Captcha PRO</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5415</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5415</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Captcha PRO (die Premium-Version des Plugins Advanced Google reCAPTCHA, beide teilen denselben Slug) ist über eine Authentifizierungsumgehung angreifbar. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Plugin auf eine bereinigte Version aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: google-chromeos-chrome, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>Google ChromeOS/Chrome</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8293 — WordPress Really Simple Security Plugin – 2FA-Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8293</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8293</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Really Simple Security” vor Version 9.5.10.1 erzwingt die Zwei-Faktor-Authentifizierung in zwei REST-Endpunkten nicht, sodass ein Angreifer mit Kenntnis des Benutzernamens die zweite Authentifizierungsstufe umgehen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2019-25745 — SQL-Injection im WordPress-Plugin Google Review Slider 6.1</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25745</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25745</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Google Review Slider 6.1 enthält eine zeitbasierte Blind-SQL-Injection-Schwachstelle. Nicht authentifizierte Angreifer können darüber durch Einschleusen von SQL-Code Datenbankabfragen manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.2 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, google-chromeos-chrome</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Google ChromeOS/Chrome</category>
    </item>
    <item>
      <title>CVE-2026-9851 — WordPress-Plugin „Booking Package“: Privilegienerweiterung durch Account-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9851</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9851</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Booking Package“ ist in Versionen bis einschliesslich 1.7.16 für Privilegienerweiterung durch Account-Übernahme anfällig, verursacht durch eine fehlende Berechtigungsprüfung in der Funktion updateUs…. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Check Point. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.0%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-10586 — WordPress-Plugin „Essential Blocks“: Server-Side Request Forgery</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10586</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10586</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Essential Blocks – Page Builder for Gutenberg Blocks &amp; Patterns“ ist in allen Versionen bis einschliesslich 6.1.3 für Server-Side Request Forgery (SSRF) anfällig. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence) und WordPress (WPScan). CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.0%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-5073 — WordPress ARMember Premium Plugin – SQL Injection (order-Parameter)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5073</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5073</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „ARMember Premium” ist in allen Versionen bis einschliesslich 7.3.1 anfällig für SQL-Injection über den Parameter „order” der AJAX-Aktion „arm_directory_paging_action”. CVSS-Basiswert: 7.5 (Hoch).

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15302 — Directory Traversal im WordPress-Plugin ARMember (CVE-2026-15302)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15302</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15302</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin ARMember ist in allen Versionen bis einschliesslich 4.0.27 über den HTTP-Header X-FILENAME für Directory Traversal anfällig. Dies ermöglicht es nicht authentifizierten Angreifern, den Pfad zu manipulieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.5%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-6804 — WordPress AI Chatbot &amp; Workflow Automation by AIWU: Autorisierungsumgehung (bis 1.4.12)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6804</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6804</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin AI Chatbot &amp; Workflow Automation by AIWU für WordPress ist in allen Versionen bis einschliesslich 1.4.12 für eine Autorisierungsumgehung anfällig, da bestimmte Berechtigungen nicht korrekt geprüft werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.4%

Betroffene Produkte: rockwell-automation, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>Rockwell Automation</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12918 — SQL-Injection im WordPress-Plugin Mail Mint</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12918</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12918</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Mail Mint (Email Marketing, Newsletter, Email Automation &amp; WooCommerce Emails) ist über den Parameter recipients anfällig für generische SQL-Injection. Betroffen sind alle Versionen bis einschliesslich der angegebenen Version. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · CVSS: 4.9 · EPSS: 0.3%

Betroffene Produkte: rockwell-automation, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>Rockwell Automation</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11802 — FoodBook Lite: Fehlende Autorisierung in registration()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11802</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11802</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin FoodBook Lite – Online Food Ordering System für WordPress ist in allen Versionen bis einschliesslich 1.5.6 anfällig für fehlende Autorisierung. Betroffen ist die über das Plugin erreichbare registration()-Funktion. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.5.6, sobald verfügbar.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12426 — WordPress-Plugin Members – Offenlegung sensibler Informationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12426</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12426</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin Members – Membership &amp; User Role Editor für WordPress ist in allen Versionen bis einschliesslich 3.2.22 für die Offenlegung sensibler Informationen anfällig. Ursache ist die Funktion members_filter_protected_posts, über die geschützte Inhalte unbefugt eingesehen werden können. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 3.2.22 aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15296 — Stored Cross-Site Scripting im WordPress-Plugin affiliate-toolkit (CVE-2026-15296)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15296</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15296</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin affiliate-toolkit (WP Affiliate Plugin with Amazon) ist über den Shortcode atkp_product für Stored Cross-Site Scripting anfällig. Betroffen sind alle Versionen bis einschliesslich der zuletzt geprüften Version. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Plugin-Updates einspielen.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.3%

Betroffene Produkte: amazon-linux-alas, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2025-5017 — WordPress Catalyst Connect Zoho CRM Client Portal: SQL-Injection über uid-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-5017</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-5017</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Catalyst Connect Zoho CRM Client Portal ist bis einschliesslich Version 2.2.0 für zeitbasierte SQL-Injection über den Parameter uid anfällig, verursacht durch unzureichende Maskierung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.9 · EPSS: 0.3%

Betroffene Produkte: ivanti-pulse-connect-secure, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>Ivanti (Pulse/Connect Secure)</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11392 — WP Hotel Booking (WordPress): Reflected Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11392</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11392</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin WP Hotel Booking für WordPress ist in allen Versionen bis einschliesslich 2.3.1 für Reflected Cross-Site Scripting anfällig. Ursache ist eine unzureichende Bereinigung der Parameter check_in_date und check_out_date. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-11390 — News Kit Addons For Elementor: Stored Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11390</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11390</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin News Kit Addons For Elementor für WordPress ist in allen Versionen bis einschliesslich 1.4.6 anfällig für Stored Cross-Site-Scripting über die Widgets Site Logo Title und Single Author Box. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 1.4.6, sobald verfügbar.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.3%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, docusign-box-dropbox</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>DocuSign/Box/Dropbox</category>
    </item>
    <item>
      <title>CVE-2026-12385 — Smart Slider 3 (WordPress) – Offenlegung sensibler Informationen über keyword-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12385</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12385</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Smart Slider 3 ist bis einschliesslich Version 3.5.1.37 über den Parameter keyword anfällig für die Offenlegung sensibler Informationen. Dadurch können authentifizierte Benutzer auf Daten zugreifen, die ihnen nicht zustehen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.5.1.37 aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12400 — FlowForms für WordPress – Insecure Direct Object Reference</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12400</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12400</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin FlowForms – Conversational Form Builder für WordPress ist in allen Versionen bis einschliesslich 1.1.1 über die Funktion update_form für eine Insecure Direct Object Reference anfällig, verursacht durch eine fehlende Validierung. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-1946 — WordPress GW AI Website Builder – unbefugte Datenänderung durch fehlende Berechtigungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1946</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1946</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin GW AI Website Builder ist für eine unbefugte Datenänderung anfällig, weil in der Funktion gwaiwebu_gravitywrite_disconnect_handler() eine Berechtigungsprüfung fehlt. Angreifer können dies in allen betroffenen Versionen ausnutzen. Der CVSS-Basiswert liegt bei 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, check-point</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-7565 — Arbitrary File Read im WordPress-Plugin LearnPress Backup &amp; Migration</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7565</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7565</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin LearnPress – Backup &amp; Migration Tool ist bis einschliesslich Version 4.1.4 über den Parameter import-user-file anfällig für Arbitrary File Read mittels Directory Traversal. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.9 · EPSS: 0.2%

Betroffene Produkte: nakivo, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>NAKIVO</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-7640 — CVE-2026-7640 – Stored XSS im WordPress-Plugin WP Customer Area</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7640</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7640</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Customer Area ist über das Attribut type des Shortcodes customer-area-protected-content anfällig für Stored Cross-Site-Scripting. Betroffen sind laut Quelle alle Versionen bis einschliesslich der genannten. CVSS-Basiswert: 6.4 (Mittel).

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9197 — WordPress Smart Slider 3: Directory Traversal in replaceHTMLImage</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9197</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9197</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin Smart Slider 3 für WordPress ist in allen Versionen bis einschliesslich 3.5.1.36 über die Funktion replaceHTMLImage für Directory Traversal anfällig, was authentifizierten Angreifern den Zugriff auf ausserhalb des vorgesehenen Verzeichnisses liegende Ressourcen ermöglicht. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.9 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12141 — Premium Addons for Elementor – Gespeichertes XSS über premium_tooltip_text</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12141</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12141</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Premium Addons for Elementor ist über den Parameter premium_tooltip_text für gespeichertes Cross-Site-Scripting (Stored XSS) anfällig. Betroffen sind alle Versionen bis zu der in der Quelle genannten Fassung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Betroffene sollten das Plugin auf die bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.9 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-1382 — Stored Cross-Site Scripting im WordPress-Plugin fresh Podcaster</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1382</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1382</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin fresh Podcaster ist bis einschliesslich Version 1.0.7 für Stored Cross-Site Scripting über den Shortcode freshpodcaster anfällig, da Eingaben unzureichend bereinigt werden. Angreifer können dadurch persistente Skripte einschleusen, die im Browser anderer Nutzer ausgeführt werden. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version oberhalb 1.0.7 aktualisieren, sobald verfügbar.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-15295 — WordPress-Plugin Infinite Scroll – Ajax Load More: Stored XSS über Admin-Einstellungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15295</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15295</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Infinite Scroll – Ajax Load More ist in allen Versionen bis einschliesslich 7.0.1 für Stored Cross-Site-Scripting anfällig. Ursache ist eine unzureichende Eingabebehandlung bei den Admin-Einstellungen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

Severity: Mittel · CVSS: 4.4 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-11901 — WP Hotel Booking (WordPress) – unzureichende Prüfung der Datenauthentizität</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11901</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11901</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Hotel Booking ist bis einschliesslich Version 2.3.1 anfällig für eine unzureichende Prüfung der Datenauthentizität in der Verarbeitung von web_hook_process_paypal_standard. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 2.3.1 aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12988 — WP 2FA (WordPress-Plugin) – fehlende Verifizierung der E-Mail bei der 2FA-Einrichtung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12988</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12988</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP 2FA vor Version 3.1.1.2 überprüft nicht, ob die bei der Einrichtung der Zwei-Faktor-Authentifizierung angegebene E-Mail-Adresse tatsächlich dem Nutzer gehört. Ein Angreifer, der bereits Zugangsdaten eines Nutzers erlangt hat, kann dadurch laut Quellbeschreibung die 2FA-Einrichtung auf eine von ihm kontrollierte Adresse umlenken. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: das Plugin auf Version 3.1.1.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12536 — WordPress-Plugin Avada (Fusion) Builder: Stored XSS ueber Module Title</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12536</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12536</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Avada (Fusion) Builder ist in allen Versionen bis einschliesslich 3.15.5 fuer Stored Cross-Site-Scripting ueber den Parameter Module Title anfaellig. Ursache ist eine unzureichende Bereinigung der Eingaben. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Es liegen keine Hinweise auf aktive Ausnutzung vor. Empfohlene Massnahme: das Plugin auf eine Version neuer als 3.15.5 aktualisieren, sobald verfuegbar.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2025-15665 — WordPress-Plugin Ultimate Before After Image Slider &amp; Gallery – Stored XSS über BEAF-Slider-Widget</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-15665</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-15665</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Ultimate Before After Image Slider &amp; Gallery maskiert in Versionen vor 4.7.1 den Wert des Shortcode-Feldes im BEAF-Slider-Widget nicht, bevor er im Frontend ausgegeben wird. Dadurch lässt sich Cross-Site-Scripting (Stored XSS) einschleusen, das im Browser von Seitenbesuchern ausgeführt wird. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Plugin-Version 4.7.1 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-12511 — AI Engine (WordPress-Plugin) vor 3.5.5: Schreiben beliebiger Dateien über ungeprüften Dateinamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-12511</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-12511</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin AI Engine bereinigt vor Version 3.5.5 einen von Nutzern übermittelten Dateinamen nicht, bevor es damit eine heruntergeladene Datei schreibt. Dadurch können authentifizierte Nutzer mit mindestens Editor-Rechten angreiferkontrollierte Dateien in das Dateisystem schreiben. Zu dieser Schwachstelle liegen in den Quelldaten weder ein CVSS-Basiswert noch ein EPSS-Wert vor. Empfohlene Massnahme: Plugin auf Version 3.5.5 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.2%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-7566 — WordPress LearnPress Backup &amp; Migration Tool: PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7566</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7566</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin „LearnPress – Backup &amp; Migration Tool&quot; für WordPress ist in allen Versionen bis einschliesslich 4.1.4 über die Deserialisierung nicht vertrauenswürdiger Eingaben anfällig für PHP Object Injection. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 6.6 · EPSS: 0.1%

Betroffene Produkte: nakivo, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, php</description>
      <category>Mittel</category><category>NAKIVO</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-11567 — SureForms (WordPress) – unzureichende Prüfung des Zahlungsbetrags</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11567</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11567</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin SureForms vor Version 2.11.1 validiert den Zahlungsbetrag auf Formularen, die einen dynamisch bezogenen (variablen/versteckten) Betrag verwenden, nicht korrekt. Dadurch kann der Zahlungsbetrag von nicht authentifizierten Nutzern manipuliert werden. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: SureForms auf Version 2.11.1 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-9280 — WordPress Ad Inserter: Reflektiertes XSS im iframe-Modus</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9280</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9280</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin „Ad Inserter – Ad Manager &amp; AdSense Ads“ für WordPress ist bis einschliesslich Version 2.8.15 über URL-Parameter im iframe-Modus für reflektiertes Cross-Site-Scripting anfällig, da Eingaben unzureichend behandelt werden. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Update auf eine Version nach 2.8.15 einspielen.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-8839 — Authorization Bypass im WordPress-Plugin MapPress Maps</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8839</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8839</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin MapPress Maps for WordPress ist bis einschliesslich Version 2.96.6 anfällig für einen Authorization Bypass über einen benutzerkontrollierten Schlüssel, verursacht durch eine fehlende Prüfung der Objekt-Eigentümerschaft. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-1451 — WordPress rognone Plugin – Reflected XSS via a-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1451</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1451</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „a”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-1450 — WordPress rognone Plugin – Reflected XSS via mode-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1450</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1450</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin rognone ist in Versionen bis einschliesslich 0.6.2 anfällig für Reflected Cross-Site Scripting über den Parameter „mode”, bedingt durch unzureichende Eingabebereinigung und Ausgabe-Escaping. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-2425 — WordPress hiWeb Migration Simple Plugin – Reflected XSS via new_domain</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2425</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2425</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin hiWeb Migration Simple ist in allen Versionen bis einschliesslich 2.0.0.1 anfällig für Reflected Cross-Site Scripting über den Parameter „new_domain”, bedingt durch unzureichende Eingabebereinigung. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
  </channel>
</rss>
