CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)
Am 16. Juni 2026 wurde eine kritische Schwachstelle im WordPress-Plugin „ACPT (Pro) – Custom Post Types“ unter der Kennung CVE-2026-25470 (zum Zeitpunkt der Veröffentlichung noch nicht im NVD-Katalog gelistet) veröffentlicht. Die Lücke wird mit dem höchstmöglichen CVSS-Score von 10.0 bewertet und ermöglicht Angreifern die unauthentifizierte Ausführung von beliebigem Code (Remote Code Execution, RCE). Alle Plugin-Versionen bis einschließlich 2.0.47 sind betroffen, was für Betreiber betroffener Websites ein erhebliches Sicherheitsrisiko darstellt.
Technische Analyse der Schwachstelle
Die Schwachstelle ist als CWE-94 (Improper Control of Generation of Code), auch bekannt als Code-Injection, klassifiziert. Sie erlaubt es einem entfernten, nicht angemeldeten Angreifer, eigenen Programmcode direkt in den Kontext des Webservers einzuschleusen und auszuführen. Dies ermöglicht die vollständige Übernahme der WordPress-Instanz. Die vollständige technische Beschreibung ist in der Patchstack-Advisory einsehbar.
Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H beschreibt die kritische Natur des Problems. Nachfolgend werden die wichtigsten Parameter erklärt:
AV:N (Attack Vector: Network): Der Angriff kann über das Internet erfolgen.
AC:L (Attack Complexity: Low): Es sind keine komplexen Vorbereitungen für einen erfolgreichen Angriff notwendig.
PR:N (Privileges Required: None): Der Angreifer benötigt keine Zugangsdaten oder bestehende Berechtigungen.
UI:N (User Interaction: None): Ein Angriff erfordert keine Interaktion eines Nutzers.
S:C (Scope: Changed): Der Angreifer kann über das WordPress-Plugin weitere Ressourcen des zugrundeliegenden Webservers oder Betriebssystems kompromittieren.
Die Entdeckung wird dem Sicherheitsforscher Jarno Vos zugeschrieben, der die Meldung über das Bug-Bounty-Programm von Patchstack einreichte.
Auswirkungen auf die Unternehmenssicherheit und Compliance
Eine erfolgreiche Ausnutzung von CVE-2026-25470 kann zur Kompromittierung der gesamten Website führen. Mögliche Folgen sind der Diebstahl sensibler Daten aus der Datenbank (z. B. Kundendaten), die Verbreitung von Malware oder die Integration der Website in ein Botnetz. Solche Vorfälle stellen nicht nur ein technisches, sondern auch ein Compliance-Risiko dar. Im Rahmen von Vorschriften wie NIS-2 oder Zertifizierungen nach ISO 27001 sind Organisationen verpflichtet, ein effektives Schwachstellenmanagement zu betreiben und zeitnah auf kritische Bedrohungen zu reagieren.
Für Organisationen in Deutschland, Österreich und der Schweiz ergeben sich darüber hinaus konkrete rechtliche Pflichten: Führt die Ausnutzung dieser Schwachstelle zu einem Abfluss personenbezogener Daten, greift die DSGVO-Meldepflicht nach Art. 33: Verantwortliche müssen den Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden. Betreiber wesentlicher oder wichtiger Einrichtungen im Sinne der NIS-2-Richtlinie sind zusätzlich verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden und geeignete Schutzmaßnahmen vorzuhalten. Das BSI empfiehlt grundsätzlich, ungepatchte Plugins mit kritischem CVSS-Score sofort zu deaktivieren, bis ein offizieller Patch des Herstellers verfügbar ist.
Empfohlene Sofortmaßnahmen
Zum Zeitpunkt der Veröffentlichung am 16. Juni 2026 stand kein offizieller Sicherheitspatch des Plugin-Herstellers zur Verfügung. Es existiert derzeit keine gepatchte Version des ACPT-Plugins; sobald eine korrigierte Version erscheint, ist ein sofortiges Update erforderlich. Betreibern wird daher dringend empfohlen, die folgende Maßnahme umzusetzen:
Primäre Handlungsempfehlung: Deaktivierung des Plugins Die sicherste Methode zur Risikominimierung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins auf allen WordPress-Systemen. Dadurch wird die angreifbare Komponente vollständig aus der Systemumgebung entfernt.
Für Kunden des Sicherheitsdienstleisters Patchstack steht, sofern von Patchstack für diesen CVE bereitgestellt, alternativ ein virtueller Patch (vPatch) zur Verfügung, der den Angriffsversuch auf Ebene der Web Application Firewall (WAF) blockieren kann. Dies sollte jedoch nur als temporäre Überbrückung bis zur Veröffentlichung einer offiziell korrigierten Plugin-Version verstanden werden.
Transparenz der Angriffsfläche mit LocateRisk schaffen
Schwachstellen wie CVE-2026-25470 verdeutlichen, wie schnell eine einzelne ungepatchte Komponente zur offenen Flanke einer gesamten digitalen Infrastruktur werden kann, insbesondere dann, wenn WordPress-Installationen im Unternehmensumfeld über Zeit gewachsen sind und nicht mehr vollständig inventarisiert wurden.
Die External Attack Surface Management (EASM)-Plattform von LocateRisk automatisiert die kontinuierliche Erfassung und Bewertung aller extern erreichbaren IT-Systeme. Sie identifiziert öffentlich erreichbare WordPress-Installationen, einschließlich solcher, die im Laufe der Zeit in Vergessenheit geraten sind oder von externen Agenturen ohne zentrale Dokumentation betrieben werden und erkennt durch Fingerprinting-Methoden eingesetzte Plugins wie ACPT. So erhalten IT-Sicherheitsteams eine schnelle und präzise Übersicht, welche Systeme von einer kritischen Schwachstelle betroffen sind, bevor es zu einem Sicherheitsvorfall kommt.
Dabei fungiert LocateRisk als digitales Frühwarnsystem: Anstatt manuell Dutzende Instanzen prüfen zu müssen, sehen CISOs und IT-Teams auf einen Blick, welche Systeme konkret von CVE-2026-25470 betroffen sind, und können Gegenmaßnahmen einleiten, bevor Angreifer die Lücke ausnutzen.
Verwalten externe Dienstleister oder Agenturen WordPress-Installationen im Auftrag Ihres Unternehmens, entsteht ein zusätzliches Vendor-Risiko: Die Sicherheit Ihrer digitalen Präsenz hängt dann auch vom Patch-Management Dritter ab. Mit Continuous Vendor Risk Management (C-VRM) unterstützt LocateRisk die automatisierte Sicherheitsbewertung solcher Dienstleister und schafft Transparenz über Risiken in der digitalen Lieferkette. Die LocateRisk-Plattform wird in deutschen Rechenzentren betrieben und unterstützt Organisationen bei der Erfüllung ihrer DSGVO-Anforderungen.
LocateRisk identifiziert kontinuierlich und automatisiert Ihre externen IT-Systeme und bewertet deren Sicherheitsniveau. Verschaffen Sie sich Klarheit über Ihre exponierten Assets.
CVE-2026-25470 ist eine kritische Schwachstelle (CVSS 10.0) im WordPress-Plugin „ACPT (Pro) – Custom Post Types“, die unter CWE-94 (Code Injection) klassifiziert ist. Sie erlaubt es Angreifern, Schadcode über das Netzwerk einzuschleusen, um die vollständige Kontrolle über den Webserver zu erlangen (Scope-Wechsel). Die Schwachstelle wurde am 16. Juni 2026 durch das Patchstack Bug-Bounty-Programm öffentlich bekannt gemacht.
Alle Versionen des Plugins bis einschließlich 2.0.47 sind von der Schwachstelle betroffen. Zum Zeitpunkt der Veröffentlichung (16. Juni 2026) steht kein offizieller Patch des Herstellers zur Verfügung. Es wird empfohlen, das Plugin bis zur Bereitstellung einer korrigierten Version sofort zu deaktivieren und zu deinstallieren.
Die primäre Empfehlung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins. Patchstack-Kunden können, sofern ein entsprechender virtueller Patch (vPatch) für diesen CVE bereitgestellt wurde, einen temporären Schutz auf WAF-Ebene aktivieren. Dieser ersetzt jedoch nicht den offiziellen Herstellerpatch und sollte nur als Überbrückungsmaßnahme eingesetzt werden.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.