CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)
Am 16. Juni 2026 wurde eine kritische Schwachstelle im WordPress-Plugin „ACPT (Pro) – Custom Post Types“ unter der Kennung CVE-2026-25470 (zum Zeitpunkt der Veröffentlichung noch nicht im NVD-Katalog gelistet) veröffentlicht. Die Lücke wird mit dem höchstmöglichen CVSS-Score von 10.0 bewertet und ermöglicht Angreifern die unauthentifizierte Ausführung von beliebigem Code (Remote Code Execution, RCE). Alle Plugin-Versionen bis einschließlich 2.0.47 sind betroffen, was für Betreiber betroffener Websites ein erhebliches Sicherheitsrisiko darstellt.
Technische Analyse der Schwachstelle
Die Schwachstelle ist als CWE-94 (Improper Control of Generation of Code), auch bekannt als Code-Injection, klassifiziert. Sie erlaubt es einem entfernten, nicht angemeldeten Angreifer, eigenen Programmcode direkt in den Kontext des Webservers einzuschleusen und auszuführen. Dies ermöglicht die vollständige Übernahme der WordPress-Instanz. Die vollständige technische Beschreibung ist in der Patchstack-Advisory einsehbar.
Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H beschreibt die kritische Natur des Problems. Nachfolgend werden die wichtigsten Parameter erklärt:
- AV:N (Attack Vector: Network): Der Angriff kann über das Internet erfolgen.
- AC:L (Attack Complexity: Low): Es sind keine komplexen Vorbereitungen für einen erfolgreichen Angriff notwendig.
- PR:N (Privileges Required: None): Der Angreifer benötigt keine Zugangsdaten oder bestehende Berechtigungen.
- UI:N (User Interaction: None): Ein Angriff erfordert keine Interaktion eines Nutzers.
- S:C (Scope: Changed): Der Angreifer kann über das WordPress-Plugin weitere Ressourcen des zugrundeliegenden Webservers oder Betriebssystems kompromittieren.
Die Entdeckung wird dem Sicherheitsforscher Jarno Vos zugeschrieben, der die Meldung über das Bug-Bounty-Programm von Patchstack einreichte.
Auswirkungen auf die Unternehmenssicherheit und Compliance
Eine erfolgreiche Ausnutzung von CVE-2026-25470 kann zur Kompromittierung der gesamten Website führen. Mögliche Folgen sind der Diebstahl sensibler Daten aus der Datenbank (z. B. Kundendaten), die Verbreitung von Malware oder die Integration der Website in ein Botnetz. Solche Vorfälle stellen nicht nur ein technisches, sondern auch ein Compliance-Risiko dar. Im Rahmen von Vorschriften wie NIS-2 oder Zertifizierungen nach ISO 27001 sind Organisationen verpflichtet, ein effektives Schwachstellenmanagement zu betreiben und zeitnah auf kritische Bedrohungen zu reagieren.
Für Organisationen in Deutschland, Österreich und der Schweiz ergeben sich darüber hinaus konkrete rechtliche Pflichten: Führt die Ausnutzung dieser Schwachstelle zu einem Abfluss personenbezogener Daten, greift die DSGVO-Meldepflicht nach Art. 33: Verantwortliche müssen den Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden. Betreiber wesentlicher oder wichtiger Einrichtungen im Sinne der NIS-2-Richtlinie sind zusätzlich verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden und geeignete Schutzmaßnahmen vorzuhalten. Das BSI empfiehlt grundsätzlich, ungepatchte Plugins mit kritischem CVSS-Score sofort zu deaktivieren, bis ein offizieller Patch des Herstellers verfügbar ist.
Empfohlene Sofortmaßnahmen
Zum Zeitpunkt der Veröffentlichung am 16. Juni 2026 stand kein offizieller Sicherheitspatch des Plugin-Herstellers zur Verfügung. Es existiert derzeit keine gepatchte Version des ACPT-Plugins; sobald eine korrigierte Version erscheint, ist ein sofortiges Update erforderlich. Betreibern wird daher dringend empfohlen, die folgende Maßnahme umzusetzen:
Primäre Handlungsempfehlung: Deaktivierung des Plugins Die sicherste Methode zur Risikominimierung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins auf allen WordPress-Systemen. Dadurch wird die angreifbare Komponente vollständig aus der Systemumgebung entfernt.
Für Kunden des Sicherheitsdienstleisters Patchstack steht, sofern von Patchstack für diesen CVE bereitgestellt, alternativ ein virtueller Patch (vPatch) zur Verfügung, der den Angriffsversuch auf Ebene der Web Application Firewall (WAF) blockieren kann. Dies sollte jedoch nur als temporäre Überbrückung bis zur Veröffentlichung einer offiziell korrigierten Plugin-Version verstanden werden.
Transparenz der Angriffsfläche mit LocateRisk schaffen
Schwachstellen wie CVE-2026-25470 verdeutlichen, wie schnell eine einzelne ungepatchte Komponente zur offenen Flanke einer gesamten digitalen Infrastruktur werden kann, insbesondere dann, wenn WordPress-Installationen im Unternehmensumfeld über Zeit gewachsen sind und nicht mehr vollständig inventarisiert wurden.
Die External Attack Surface Management (EASM)-Plattform von LocateRisk automatisiert die kontinuierliche Erfassung und Bewertung aller extern erreichbaren IT-Systeme. Sie identifiziert öffentlich erreichbare WordPress-Installationen, einschließlich solcher, die im Laufe der Zeit in Vergessenheit geraten sind oder von externen Agenturen ohne zentrale Dokumentation betrieben werden und erkennt durch Fingerprinting-Methoden eingesetzte Plugins wie ACPT. So erhalten IT-Sicherheitsteams eine schnelle und präzise Übersicht, welche Systeme von einer kritischen Schwachstelle betroffen sind, bevor es zu einem Sicherheitsvorfall kommt.
Dabei fungiert LocateRisk als digitales Frühwarnsystem: Anstatt manuell Dutzende Instanzen prüfen zu müssen, sehen CISOs und IT-Teams auf einen Blick, welche Systeme konkret von CVE-2026-25470 betroffen sind, und können Gegenmaßnahmen einleiten, bevor Angreifer die Lücke ausnutzen.
Verwalten externe Dienstleister oder Agenturen WordPress-Installationen im Auftrag Ihres Unternehmens, entsteht ein zusätzliches Vendor-Risiko: Die Sicherheit Ihrer digitalen Präsenz hängt dann auch vom Patch-Management Dritter ab. Mit Continuous Vendor Risk Management (C-VRM) unterstützt LocateRisk die automatisierte Sicherheitsbewertung solcher Dienstleister und schafft Transparenz über Risiken in der digitalen Lieferkette. Die LocateRisk-Plattform wird in deutschen Rechenzentren betrieben und unterstützt Organisationen bei der Erfüllung ihrer DSGVO-Anforderungen.
Quellen und weitere Infos
Quellen und weiterführende Informationen
Kennen Sie Ihre externe Angriffsfläche?
LocateRisk identifiziert kontinuierlich und automatisiert Ihre externen IT-Systeme und bewertet deren Sicherheitsniveau. Verschaffen Sie sich Klarheit über Ihre exponierten Assets.
Kostenlosen Sicherheits-Check anfordern
Häufige Fragen
CVE-2026-25470 ist eine kritische Schwachstelle (CVSS 10.0) im WordPress-Plugin „ACPT (Pro) – Custom Post Types“, die unter CWE-94 (Code Injection) klassifiziert ist. Sie erlaubt es Angreifern, Schadcode über das Netzwerk einzuschleusen, um die vollständige Kontrolle über den Webserver zu erlangen (Scope-Wechsel). Die Schwachstelle wurde am 16. Juni 2026 durch das Patchstack Bug-Bounty-Programm öffentlich bekannt gemacht.
Alle Versionen des Plugins bis einschließlich 2.0.47 sind von der Schwachstelle betroffen. Zum Zeitpunkt der Veröffentlichung (16. Juni 2026) steht kein offizieller Patch des Herstellers zur Verfügung. Es wird empfohlen, das Plugin bis zur Bereitstellung einer korrigierten Version sofort zu deaktivieren und zu deinstallieren.
Die primäre Empfehlung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins. Patchstack-Kunden können, sofern ein entsprechender virtueller Patch (vPatch) für diesen CVE bereitgestellt wurde, einen temporären Schutz auf WAF-Ebene aktivieren. Dieser ersetzt jedoch nicht den offiziellen Herstellerpatch und sollte nur als Überbrückungsmaßnahme eingesetzt werden.
Deutsch 
English 
Français