{"id":8632,"date":"2026-06-17T11:23:32","date_gmt":"2026-06-17T11:23:32","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=8632"},"modified":"2026-07-08T08:15:29","modified_gmt":"2026-07-08T08:15:29","slug":"cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/","title":{"rendered":"CVE-2026-25470: Critical Vulnerability in the WordPress Plugin ACPT (CVSS 10.0)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/en\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)<\/h1>\r\n            <p class=\"paragraph\"><br>Am 16. Juni 2026 wurde eine kritische Schwachstelle im WordPress-Plugin \u201eACPT (Pro) &#8211; Custom Post Types&#8220; unter der Kennung <strong>CVE-2026-25470<\/strong> (zum Zeitpunkt der Ver\u00f6ffentlichung noch nicht im NVD-Katalog gelistet) ver\u00f6ffentlicht. Die L\u00fccke wird mit dem h\u00f6chstm\u00f6glichen CVSS-Score von <strong>10.0<\/strong> bewertet und erm\u00f6glicht Angreifern die unauthentifizierte Ausf\u00fchrung von beliebigem Code (Remote Code Execution, RCE). Alle Plugin-Versionen bis einschlie\u00dflich <strong>2.0.47<\/strong> sind betroffen, was f\u00fcr Betreiber betroffener Websites ein erhebliches Sicherheitsrisiko darstellt.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png\" alt=\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)\" class=\"wp-image-8634\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\"><strong>Technische Analyse der Schwachstelle<\/strong><\/h2>\n\n\n\n<p>Die Schwachstelle ist als <strong>CWE-94 (Improper Control of Generation of Code)<\/strong>, auch bekannt als Code-Injection, klassifiziert. Sie erlaubt es einem entfernten, nicht angemeldeten Angreifer, eigenen Programmcode direkt in den Kontext des Webservers einzuschleusen und auszuf\u00fchren. Dies erm\u00f6glicht die vollst\u00e4ndige \u00dcbernahme der WordPress-Instanz. Die vollst\u00e4ndige technische Beschreibung ist in der <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/advanced-custom-post-type\/vulnerability\/wordpress-acpt-pro-custom-post-types-plugin-for-wordpress-plugin-2-0-47-remote-code-execution-rce-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">Patchstack-Advisory<\/a> einsehbar.<\/p>\n\n\n\n<p>Der CVSS-Vektor <strong>CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:H<\/strong> beschreibt die kritische Natur des Problems. Nachfolgend werden die wichtigsten Parameter erkl\u00e4rt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>AV:N (Attack Vector: Network):<\/strong> Der Angriff kann \u00fcber das Internet erfolgen.<\/li>\n\n\n\n<li><strong>AC:L (Attack Complexity: Low):<\/strong> Es sind keine komplexen Vorbereitungen f\u00fcr einen erfolgreichen Angriff notwendig.<\/li>\n\n\n\n<li><strong>PR:N (Privileges Required: None):<\/strong> Der Angreifer ben\u00f6tigt keine Zugangsdaten oder bestehende Berechtigungen.<\/li>\n\n\n\n<li><strong>UI:N (User Interaction: None):<\/strong> Ein Angriff erfordert keine Interaktion eines Nutzers.<\/li>\n\n\n\n<li><strong>S:C (Scope: Changed):<\/strong> Der Angreifer kann \u00fcber das WordPress-Plugin weitere Ressourcen des zugrundeliegenden Webservers oder Betriebssystems kompromittieren.<\/li>\n<\/ul>\n\n\n\n<p>Die Entdeckung wird dem Sicherheitsforscher Jarno Vos zugeschrieben, der die Meldung \u00fcber das Bug-Bounty-Programm von Patchstack einreichte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Auswirkungen auf die Unternehmenssicherheit und Compliance<\/strong><\/h2>\n\n\n\n<p>Eine erfolgreiche Ausnutzung von CVE-2026-25470 kann zur Kompromittierung der gesamten Website f\u00fchren. M\u00f6gliche Folgen sind der Diebstahl sensibler Daten aus der Datenbank (z. B. Kundendaten), die Verbreitung von Malware oder die Integration der Website in ein Botnetz. Solche Vorf\u00e4lle stellen nicht nur ein technisches, sondern auch ein Compliance-Risiko dar. Im Rahmen von Vorschriften wie <strong>NIS-2<\/strong> oder Zertifizierungen nach <strong>ISO 27001<\/strong> sind Organisationen verpflichtet, ein effektives Schwachstellenmanagement zu betreiben und zeitnah auf kritische Bedrohungen zu reagieren.<\/p>\n\n\n\n<p>F\u00fcr Organisationen in Deutschland, \u00d6sterreich und der Schweiz ergeben sich dar\u00fcber hinaus konkrete rechtliche Pflichten: F\u00fchrt die Ausnutzung dieser Schwachstelle zu einem Abfluss personenbezogener Daten, greift die <strong>DSGVO-Meldepflicht nach Art. 33<\/strong>: Verantwortliche m\u00fcssen den Vorfall innerhalb von <strong>72 Stunden<\/strong> an die zust\u00e4ndige Datenschutzbeh\u00f6rde melden. Betreiber wesentlicher oder wichtiger Einrichtungen im Sinne der <strong>NIS-2-Richtlinie<\/strong> sind zus\u00e4tzlich verpflichtet, erhebliche Sicherheitsvorf\u00e4lle unverz\u00fcglich zu melden und geeignete Schutzma\u00dfnahmen vorzuhalten. Das BSI empfiehlt grunds\u00e4tzlich, ungepatchte Plugins mit kritischem CVSS-Score sofort zu deaktivieren, bis ein offizieller Patch des Herstellers verf\u00fcgbar ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Empfohlene Sofortma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Zum Zeitpunkt der Ver\u00f6ffentlichung am 16. Juni 2026 stand <strong>kein offizieller Sicherheitspatch<\/strong> des Plugin-Herstellers zur Verf\u00fcgung. Es existiert derzeit keine gepatchte Version des ACPT-Plugins; sobald eine korrigierte Version erscheint, ist ein sofortiges Update erforderlich. Betreibern wird daher dringend empfohlen, die folgende Ma\u00dfnahme umzusetzen:<\/p>\n\n\n\n<p><strong>Prim\u00e4re Handlungsempfehlung: Deaktivierung des Plugins<\/strong> Die sicherste Methode zur Risikominimierung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins auf allen WordPress-Systemen. Dadurch wird die angreifbare Komponente vollst\u00e4ndig aus der Systemumgebung entfernt.<\/p>\n\n\n\n<p>F\u00fcr Kunden des Sicherheitsdienstleisters Patchstack steht, sofern von Patchstack f\u00fcr diesen CVE bereitgestellt, alternativ ein virtueller Patch (vPatch) zur Verf\u00fcgung, der den Angriffsversuch auf Ebene der Web Application Firewall (WAF) blockieren kann. Dies sollte jedoch nur als tempor\u00e4re \u00dcberbr\u00fcckung bis zur Ver\u00f6ffentlichung einer offiziell korrigierten Plugin-Version verstanden werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Transparenz der Angriffsfl\u00e4che mit LocateRisk schaffen<\/strong><\/h2>\n\n\n\n<p>Schwachstellen wie CVE-2026-25470 verdeutlichen, wie schnell eine einzelne ungepatchte Komponente zur offenen Flanke einer gesamten digitalen Infrastruktur werden kann, insbesondere dann, wenn WordPress-Installationen im Unternehmensumfeld \u00fcber Zeit gewachsen sind und nicht mehr vollst\u00e4ndig inventarisiert wurden.<\/p>\n\n\n\n<p>Die <strong>External Attack Surface Management (EASM)<\/strong>-Plattform von LocateRisk automatisiert die kontinuierliche Erfassung und Bewertung aller extern erreichbaren IT-Systeme. Sie identifiziert \u00f6ffentlich erreichbare WordPress-Installationen, einschlie\u00dflich solcher, die im Laufe der Zeit in Vergessenheit geraten sind oder von externen Agenturen ohne zentrale Dokumentation betrieben werden und erkennt durch Fingerprinting-Methoden eingesetzte Plugins wie ACPT. So erhalten IT-Sicherheitsteams eine schnelle und pr\u00e4zise \u00dcbersicht, welche Systeme von einer kritischen Schwachstelle betroffen sind, bevor es zu einem Sicherheitsvorfall kommt.<\/p>\n\n\n\n<p>Dabei fungiert LocateRisk als digitales Fr\u00fchwarnsystem: Anstatt manuell Dutzende Instanzen pr\u00fcfen zu m\u00fcssen, sehen CISOs und IT-Teams auf einen Blick, welche Systeme konkret von CVE-2026-25470 betroffen sind, und k\u00f6nnen Gegenma\u00dfnahmen einleiten, bevor Angreifer die L\u00fccke ausnutzen.<\/p>\n\n\n\n<p>Verwalten externe Dienstleister oder Agenturen WordPress-Installationen im Auftrag Ihres Unternehmens, entsteht ein zus\u00e4tzliches Vendor-Risiko: Die Sicherheit Ihrer digitalen Pr\u00e4senz h\u00e4ngt dann auch vom Patch-Management Dritter ab. Mit <strong>Continuous Vendor Risk Management (C-VRM)<\/strong> unterst\u00fctzt LocateRisk die automatisierte Sicherheitsbewertung solcher Dienstleister und schafft Transparenz \u00fcber Risiken in der digitalen Lieferkette. Die LocateRisk-Plattform wird in deutschen Rechenzentren betrieben und unterst\u00fctzt Organisationen bei der Erf\u00fcllung ihrer DSGVO-Anforderungen.<\/p>\n\n\n\n<p><br><br>Quellen und weitere Infos<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weiterf\u00fchrende Informationen<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Patchstack (Primary Source):<\/strong> <a href=\"https:\/\/patchstack.com\/database\/wordpress\/plugin\/advanced-custom-post-type\/vulnerability\/wordpress-acpt-pro-custom-post-types-plugin-for-wordpress-plugin-2-0-47-remote-code-execution-rce-vulnerability?_s_id=cve\" target=\"_blank\" rel=\"noreferrer noopener\">WordPress ACPT (Pro) Plugin 2.0.47 &#8211; Remote Code Execution (RCE) Vulnerability<\/a><\/li>\n\n\n\n<li><strong>Wordfence Threat Intelligence:<\/strong> <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/wordpress-plugins\/advanced-custom-post-type\/acpt-pro-custom-post-types-plugin-for-wordpress-2047-unauthenticated-remote-code-execution\" target=\"_blank\" rel=\"noreferrer noopener\">ACPT (Pro) <= 2.0.47 - Unauthenticated Remote Code Execution<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h2>\n\n\n\n<p>LocateRisk identifiziert kontinuierlich und automatisiert Ihre externen IT-Systeme und bewertet deren Sicherheitsniveau. Verschaffen Sie sich Klarheit \u00fcber Ihre exponierten Assets.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check anfordern<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was ist CVE-2026-25470?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">CVE-2026-25470 ist eine kritische Schwachstelle (CVSS 10.0) im WordPress-Plugin \u201eACPT (Pro) &#8211; Custom Post Types&#8220;, die unter CWE-94 (Code Injection) klassifiziert ist. Sie erlaubt es Angreifern, Schadcode \u00fcber das Netzwerk einzuschleusen, um die vollst\u00e4ndige Kontrolle \u00fcber den Webserver zu erlangen (Scope-Wechsel). Die Schwachstelle wurde am 16. Juni 2026 durch das Patchstack Bug-Bounty-Programm \u00f6ffentlich bekannt gemacht.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche Versionen des ACPT-Plugins sind betroffen, und gibt es bereits einen Patch?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Alle Versionen des Plugins bis einschlie\u00dflich <strong>2.0.47<\/strong> sind von der Schwachstelle betroffen. Zum Zeitpunkt der Ver\u00f6ffentlichung (16. Juni 2026) steht <strong>kein offizieller Patch<\/strong> des Herstellers zur Verf\u00fcgung. Es wird empfohlen, das Plugin bis zur Bereitstellung einer korrigierten Version sofort zu deaktivieren und zu deinstallieren.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Wie k\u00f6nnen Betreiber ihre WordPress-Installation ohne verf\u00fcgbaren Patch sch\u00fctzen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Die prim\u00e4re Empfehlung ist die sofortige Deaktivierung und Deinstallation des ACPT-Plugins. Patchstack-Kunden k\u00f6nnen, sofern ein entsprechender virtueller Patch (vPatch) f\u00fcr diesen CVE bereitgestellt wurde, einen tempor\u00e4ren Schutz auf WAF-Ebene aktivieren. Dieser ersetzt jedoch nicht den offiziellen Herstellerpatch und sollte nur als \u00dcberbr\u00fcckungsma\u00dfnahme eingesetzt werden.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n\t<div class=\"wp-block-lr-cve-quick-check lr-cveqc\">\n\t\t<div class=\"lr-cveqc-inner\">\n\n\t\t\t<div class=\"lr-cveqc-story\">\n\t\t\t\t<h2 class=\"lr-cveqc-headline\">CVE Quick Check<\/h2>\n\t\t\t\t<p class=\"lr-cveqc-text\">Pr\u00fcfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfl\u00e4che erkennbar sind.<\/p>\n\n\t\t\t\t<ul class=\"lr-cveqc-bullets\">\n\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Grobe Einsch\u00e4tzung in wenigen Minuten per E-Mail.<\/span><\/li>\t\t\t\t\t<li><svg viewBox=\"0 0 26 26\" fill=\"none\" aria-hidden=\"true\"><circle cx=\"13\" cy=\"13\" r=\"12\" stroke=\"#00051d\" stroke-width=\"1.6\"\/><path d=\"M7.5 13.4l3.7 3.6L18.5 9\" stroke=\"#00051d\" stroke-width=\"2\" stroke-linecap=\"round\" stroke-linejoin=\"round\"\/><\/svg><span>Details im kostenlosen Gespr\u00e4ch mit einem LocateRisk Consultant.<\/span><\/li>\t\t\t\t<\/ul>\n\n\t\t\t\t\t\t\t\t<div class=\"lr-cveqc-teaser\" aria-hidden=\"true\">\n\t\t\t\t\t<h4>Das erhalten Sie per E-Mail<\/h4>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Unternehmen<\/span><span class=\"v\">Ihre Firma GmbH<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Gepr\u00fcfte CVE<\/span><span class=\"v\">CVE-2024-3094<\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Passive Bewertung<\/span><span class=\"lr-cveqc-lamp\"><i class=\"r\"><\/i><i class=\"y\"><\/i><i class=\"g\"><\/i><\/span><\/div>\n\t\t\t\t\t<div class=\"lr-cveqc-trow\"><span class=\"k\">Hinweise zur CVE<\/span><span class=\"lr-cveqc-pill\">Hinweise gefunden<\/span><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t<div class=\"lr-cveqc-form-col\">\n\t\t\t\t<form id=\"lr-cveqc-1\" class=\"lr-cveqc-form\" method=\"post\" novalidate\n\t\t\t\t\tdata-ajax-url=\"https:\/\/locaterisk.com\/wp-admin\/admin-ajax.php\">\n\n\t\t\t\t\t<input type=\"text\" name=\"cveId\" required maxlength=\"40\"\n\t\t\t\t\t\tpattern=\"^[Cc][Vv][Ee]-\\d{4}-\\d{4,7}$\"\n\t\t\t\t\t\tplaceholder=\"CVE-ID, z. B. CVE-2024-3094\" \/>\n\n\t\t\t\t\t<input type=\"email\" name=\"email\" required maxlength=\"320\"\n\t\t\t\t\t\tplaceholder=\"Gesch\u00e4ftliche E-Mail-Adresse\" \/>\n\t\t\t\t\t<p class=\"lr-cveqc-hint\">Bitte verwenden Sie Ihre gesch\u00e4ftliche E-Mail-Adresse. Die Pr\u00fcfung bezieht sich auf das Unternehmen hinter Ihrer E-Mail-Domain; Free-Mail-Adressen (z. B. Gmail) k\u00f6nnen keinem Unternehmen zugeordnet werden.<\/p>\n\n\t\t\t\t\t<!-- Honeypot: f\u00fcr Menschen unsichtbar, Bots f\u00fcllen es aus.\n\t\t\t\t\t     Neutraler Feldname (NICHT \"website\"\/\"url\"\/\"email\"), sonst f\u00fcllen\n\t\t\t\t\t     Passwort-Manager und Browser-Autofill das Feld beim echten Nutzer\n\t\t\t\t\t     und blocken ihn faelschlich. -->\n\t\t\t\t\t<div class=\"lr-cveqc-hp\" aria-hidden=\"true\">\n\t\t\t\t\t\t<label>Dieses Feld bitte leer lassen\n\t\t\t\t\t\t\t<input type=\"text\" name=\"lr_hp_check\" tabindex=\"-1\" autocomplete=\"off\" \/>\n\t\t\t\t\t\t<\/label>\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"consentProcessingAccepted\" value=\"1\" required \/>\n\t\t\t\t\t\t<span>Ich stimme zu, dass LocateRisk meine Angaben verarbeitet, um den Quick Check durchzuf\u00fchren, und mir das Ergebnis per E-Mail zusendet. Hinweise in der <a href=\"\/datenschutz\/\" target=\"_blank\" rel=\"noopener\">Datenschutzerkl\u00e4rung<\/a>.<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<label class=\"lr-cveqc-check\">\n\t\t\t\t\t\t<input type=\"checkbox\" name=\"marketingOptIn\" value=\"1\" \/>\n\t\t\t\t\t\t<span>Ich m\u00f6chte zus\u00e4tzlich Informationen zu LocateRisk Produkten und Security-Themen per E-Mail erhalten (optional).<\/span>\n\t\t\t\t\t<\/label>\n\n\t\t\t\t\t<input type=\"hidden\" name=\"locale\" value=\"en\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"blogPostUrl\" value=\"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmSource\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"utmCampaign\" value=\"\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"invalidCveMessage\" value=\"Bitte geben Sie eine g\u00fcltige CVE-ID an (z. B. CVE-2024-3094).\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"consentRequiredMessage\" value=\"Bitte stimmen Sie der Verarbeitung zu, damit wir den Quick Check durchf\u00fchren k\u00f6nnen.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"captchaMessage\" value=\"Bitte best\u00e4tigen Sie das reCAPTCHA und versuchen Sie es erneut.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"successMessage\" value=\"Vielen Dank! Bitte best\u00e4tigen Sie Ihre E-Mail-Adresse \u00fcber den Link, den wir Ihnen soeben geschickt haben. Danach starten wir den Quick Check.\" \/>\n\t\t\t\t\t<input type=\"hidden\" name=\"errorMessage\" value=\"Das hat leider nicht geklappt. Bitte pr\u00fcfen Sie Ihre Angaben und versuchen Sie es erneut.\" \/>\n\n\t\t\t\t\t\t\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\"\n\t\t\t\t\t\t\tdata-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\t\t\t\t\t\n\t\t\t\t\t<p class=\"lr-cveqc-message\" hidden><\/p>\n\n\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\">Quick Check starten<\/button>\n\t\t\t\t<\/form>\n\t\t\t<\/div>\n\n\t\t<\/div>\n\t<\/div>\n\n\t\t<style>\n\t\t\/* CVE Quick Check im Stil der bestehenden Anfrage-Formulare:\n\t\t   wei\u00dfer Grund, zweispaltig, graue Felder, t\u00fcrkiser Button. *\/\n\t\t.lr-cveqc {\n\t\t\tbackground: #ffffff; color: #00051d; box-sizing: border-box; padding: 64px 32px;\n\t\t\tfont-family: Roboto, -apple-system, BlinkMacSystemFont, \"Segoe UI\", Helvetica, Arial, sans-serif;\n\t\t}\n\t\t.lr-cveqc * { box-sizing: border-box; }\n\t\t.lr-cveqc-inner {\n\t\t\tmax-width: 1160px; margin: 0 auto;\n\t\t\tdisplay: flex; flex-direction: row; gap: 6%; align-items: flex-start;\n\t\t}\n\t\t.lr-cveqc-story { flex: 1 1 54%; min-width: 0; }\n\t\t.lr-cveqc-form-col { flex: 0 0 38%; max-width: 420px; }\n\n\t\t.lr-cveqc-headline { color: #26d9c3; margin: 0 0 20px; }\n\t\t.lr-cveqc-text { font-size: 16px; line-height: 1.62; color: #00051d; margin: 0 0 28px; max-width: 46ch; }\n\n\t\t.lr-cveqc-bullets { list-style: none; margin: 0 0 30px; padding: 0; display: flex; flex-direction: column; gap: 16px; }\n\t\t.lr-cveqc-bullets li { display: flex; gap: 13px; align-items: flex-start; }\n\t\t.lr-cveqc-bullets svg { flex: none; width: 25px; height: 25px; margin-top: 1px; }\n\t\t.lr-cveqc-bullets span { font-size: 15px; line-height: 1.5; color: #00051d; }\n\n\t\t.lr-cveqc-teaser { border: 1px solid #e2e8e6; border-radius: 12px; padding: 18px 20px; background: linear-gradient(180deg,#fbfdfc,#f2f8f6); max-width: 430px; }\n\t\t.lr-cveqc-teaser h4 { margin: 0 0 6px; font-size: 11px; letter-spacing: .15em; text-transform: uppercase; color: #58616f; font-family: inherit; font-weight: 700; }\n\t\t.lr-cveqc-trow { display: flex; align-items: center; justify-content: space-between; gap: 10px; padding: 7px 0; font-size: 13.5px; }\n\t\t.lr-cveqc-trow + .lr-cveqc-trow { border-top: 1px dashed #dbe4e1; }\n\t\t.lr-cveqc-trow .k { color: #58616f; }\n\t\t.lr-cveqc-trow .v { font-weight: 600; color: #00051d; }\n\t\t.lr-cveqc-lamp { display: inline-flex; gap: 6px; align-items: center; }\n\t\t.lr-cveqc-lamp i { width: 13px; height: 13px; border-radius: 50%; opacity: .28; display: inline-block; }\n\t\t.lr-cveqc-lamp i.r { background: #f6105f; }\n\t\t.lr-cveqc-lamp i.y { background: #f6bf28; }\n\t\t.lr-cveqc-lamp i.g { background: #23c39a; opacity: 1; box-shadow: 0 0 0 3px rgba(35,195,154,.22); }\n\t\t.lr-cveqc-pill { font-size: 12px; font-weight: 700; padding: 3px 10px; border-radius: 999px; background: #ffe1ea; color: #c1114b; white-space: nowrap; }\n\n\t\t.lr-cveqc-form input[type=text], .lr-cveqc-form input[type=email] {\n\t\t\tdisplay: block; width: 100%; height: 50px; margin: 0 0 10px;\n\t\t\tborder: 0; border-radius: 0; background: #dedede; color: #00051d;\n\t\t\tfont-size: 16px; padding: 0 18px; font-family: inherit;\n\t\t}\n\t\t.lr-cveqc-form input::placeholder { color: #6d7580; }\n\t\t.lr-cveqc-form input.lr-invalid { border-bottom: 2px solid #f6105f; }\n\t\t.lr-cveqc-hint { font-size: 12.5px; line-height: 1.5; color: #58616f; margin: 2px 0 16px; }\n\t\t.lr-cveqc-hp { position: absolute !important; left: -9999px !important; height: 0; overflow: hidden; }\n\t\t.lr-cveqc-check { display: flex; gap: 12px; align-items: flex-start; margin: 0 0 12px; font-size: 12.5px; line-height: 1.5; color: #00051d; }\n\t\t.lr-cveqc-check span { color: #00051d; }\n\t\t.lr-cveqc-check input { margin-top: 2px; flex: none; width: 18px; height: 18px; accent-color: #26d9c3; }\n\t\t.lr-cveqc-check a { color: inherit; text-decoration: underline; }\n\t\t.lr-cveqc .g-recaptcha { margin: 8px 0 16px; }\n\t\t.lr-cveqc-message { font-size: 14px; padding: 12px 14px; border-radius: 6px; margin: 0 0 12px; }\n\t\t.lr-cveqc-message.lr-success { background: #e2f7ef; color: #0c6b4d; }\n\t\t.lr-cveqc-message.lr-error { background: #fdeaee; color: #9b0e3f; }\n\t\t.lr-cveqc .lr-button-link, .lr-cveqc button[type=submit] {\n\t\t\tdisplay: block; width: 100%; height: 50px; border: 0; cursor: pointer;\n\t\t\tbackground: #26d9c3; color: #00051d; font-weight: 700; font-size: 14px;\n\t\t\tfont-family: inherit; text-align: center; line-height: 50px; text-decoration: none;\n\t\t\ttransition: background .15s ease;\n\t\t}\n\t\t.lr-cveqc button[type=submit]:hover { background: #0fb5a2; }\n\t\t.lr-cveqc button[disabled] { opacity: .6; cursor: default; }\n\n\t\t@media (max-width: 820px) {\n\t\t\t.lr-cveqc { padding: 40px 22px; }\n\t\t\t.lr-cveqc-inner { flex-direction: column; gap: 34px; }\n\t\t\t.lr-cveqc-story, .lr-cveqc-form-col { flex-basis: auto; max-width: 520px; width: 100%; }\n\t\t}\n\t<\/style>\n\t<script>\n\t(function () {\n\t\t\/\/ Token-Callbacks f\u00fcrs globale reCAPTCHA (identisch zum Theme, defensiv)\n\t\tif (!window.verifyRecaptchaCallback) {\n\t\t\twindow.verifyRecaptchaCallback = function (response) {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = response })\n\t\t\t}\n\t\t}\n\t\tif (!window.expiredRecaptchaCallback) {\n\t\t\twindow.expiredRecaptchaCallback = function () {\n\t\t\t\tdocument.querySelectorAll('input[data-recaptcha]').forEach(function (el) { el.value = '' })\n\t\t\t}\n\t\t}\n\n\t\tfunction showMessage(form, text, isSuccess) {\n\t\t\tvar box = form.querySelector('.lr-cveqc-message')\n\t\t\tbox.textContent = text\n\t\t\tbox.classList.remove('lr-success', 'lr-error')\n\t\t\tbox.classList.add(isSuccess ? 'lr-success' : 'lr-error')\n\t\t\tbox.hidden = false\n\t\t}\n\n\t\tfunction init() {\n\t\t\tdocument.querySelectorAll('.lr-cveqc-form').forEach(function (form) {\n\t\t\t\tform.addEventListener('submit', function (e) {\n\t\t\t\t\te.preventDefault()\n\n\t\t\t\t\tvar cve = form.querySelector('input[name=cveId]')\n\t\t\t\t\tvar email = form.querySelector('input[name=email]')\n\t\t\t\t\tvar consent = form.querySelector('input[name=consentProcessingAccepted]')\n\t\t\t\t\tvar cvePattern = \/^CVE-\\d{4}-\\d{4,7}$\/i\n\n\t\t\t\t\tcve.classList.toggle('lr-invalid', !cvePattern.test(cve.value.trim()))\n\t\t\t\t\temail.classList.toggle('lr-invalid', !email.checkValidity())\n\n\t\t\t\t\tif (!cvePattern.test(cve.value.trim())) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=invalidCveMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!email.checkValidity()) {\n\t\t\t\t\t\temail.reportValidity()\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\t\t\t\t\tif (!consent.checked) {\n\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=consentRequiredMessage]').value, false)\n\t\t\t\t\t\treturn\n\t\t\t\t\t}\n\n\t\t\t\t\tvar button = form.querySelector('button[type=submit]')\n\t\t\t\t\tbutton.disabled = true\n\n\t\t\t\t\tvar data = new FormData(form)\n\t\t\t\t\tdata.append('action', 'lr_cve_quick_check')\n\n\t\t\t\t\tfetch(form.getAttribute('data-ajax-url'), { method: 'POST', body: data })\n\t\t\t\t\t\t.then(function (res) { return res.json() })\n\t\t\t\t\t\t.then(function (json) {\n\t\t\t\t\t\t\tif (json && json.success) {\n\t\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=successMessage]').value, true)\n\t\t\t\t\t\t\t\tform.querySelectorAll('input, button').forEach(function (el) { el.disabled = true })\n\t\t\t\t\t\t\t} else {\n\t\t\t\t\t\t\t\t\/\/ Interne Codes nie roh anzeigen, nur bekannte Codes auf\n\t\t\t\t\t\t\t\t\/\/ konfigurierte Texte mappen, sonst generische Fehlermeldung\n\t\t\t\t\t\t\t\tvar code = json && json.data && (json.data.code || json.data.message)\n\t\t\t\t\t\t\t\tvar msg = form.querySelector('input[name=errorMessage]').value\n\t\t\t\t\t\t\t\tif (code === 'invalid_cve' || code === 'invalid') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=invalidCveMessage]').value\n\t\t\t\t\t\t\t\t} else if (code === 'captcha') {\n\t\t\t\t\t\t\t\t\tmsg = form.querySelector('input[name=captchaMessage]').value\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\tshowMessage(form, msg, false)\n\t\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t\t\tif (window.grecaptcha && form.querySelector('.g-recaptcha')) {\n\t\t\t\t\t\t\t\t\ttry { window.grecaptcha.reset() } catch (err) { \/* noop *\/ }\n\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t}\n\t\t\t\t\t\t})\n\t\t\t\t\t\t.catch(function () {\n\t\t\t\t\t\t\tshowMessage(form, form.querySelector('input[name=errorMessage]').value, false)\n\t\t\t\t\t\t\tbutton.disabled = false\n\t\t\t\t\t\t})\n\t\t\t\t})\n\t\t\t})\n\t\t}\n\n\t\tif (document.readyState === 'loading') {\n\t\t\tdocument.addEventListener('DOMContentLoaded', init)\n\t\t} else {\n\t\t\tinit()\n\t\t}\n\t})()\n\t<\/script>\n\t\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Analysis of the critical remote code execution vulnerability CVE-2026-25470 (CVSS 10.0) in the WordPress plugin ACPT. Versions up to 2.0.47 are affected. Immediate action is required.<\/p>","protected":false},"author":13,"featured_media":8634,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[665,667,664,316,92,492,113,115,199,666],"class_list":["post-8632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogpost","tag-acpt-wordpress-plugin","tag-code-injection","tag-cve-2026-25470","tag-cvss-10-0","tag-easm","tag-patchstack","tag-rce","tag-schwachstelle","tag-vrm","tag-wordpress-sicherheit"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0) - LocateRisk<\/title>\n<meta name=\"description\" content=\"Analyse der kritischen Remote-Code-Execution-Schwachstelle CVE-2026-25470 (CVSS 10.0) im WordPress-Plugin ACPT. Betroffen sind Versionen bis 2.0.47. Sofortma\u00dfnahmen sind erforderlich.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0) - LocateRisk\" \/>\n<meta property=\"og:description\" content=\"Analyse der kritischen Remote-Code-Execution-Schwachstelle CVE-2026-25470 (CVSS 10.0) im WordPress-Plugin ACPT. Betroffen sind Versionen bis 2.0.47. Sofortma\u00dfnahmen sind erforderlich.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-06-17T11:23:32+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T08:15:29+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)\",\"datePublished\":\"2026-06-17T11:23:32+00:00\",\"dateModified\":\"2026-07-08T08:15:29+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/\"},\"wordCount\":761,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-25470-vulnerability-disclosure-featured.png\",\"keywords\":[\"ACPT WordPress Plugin\",\"Code Injection\",\"CVE-2026-25470\",\"CVSS 10.0\",\"EASM\",\"Patchstack\",\"RCE\",\"Schwachstelle\",\"VRM\",\"WordPress Sicherheit\"],\"articleSection\":[\"Blog post\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/\",\"name\":\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0) - LocateRisk\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-25470-vulnerability-disclosure-featured.png\",\"datePublished\":\"2026-06-17T11:23:32+00:00\",\"dateModified\":\"2026-07-08T08:15:29+00:00\",\"description\":\"Analyse der kritischen Remote-Code-Execution-Schwachstelle CVE-2026-25470 (CVSS 10.0) im WordPress-Plugin ACPT. Betroffen sind Versionen bis 2.0.47. Sofortma\u00dfnahmen sind erforderlich.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-25470-vulnerability-disclosure-featured.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/06\\\/cve-2026-25470-vulnerability-disclosure-featured.png\",\"width\":400,\"height\":400,\"caption\":\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CVE-2026-25470: Critical Vulnerability in the WordPress Plugin ACPT (CVSS 10.0) - LocateRisk","description":"Analysis of the critical remote code execution vulnerability CVE-2026-25470 (CVSS 10.0) in the WordPress plugin ACPT. Versions up to 2.0.47 are affected. Immediate action is required.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/","og_locale":"en_US","og_type":"article","og_title":"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0) - LocateRisk","og_description":"Analyse der kritischen Remote-Code-Execution-Schwachstelle CVE-2026-25470 (CVSS 10.0) im WordPress-Plugin ACPT. Betroffen sind Versionen bis 2.0.47. Sofortma\u00dfnahmen sind erforderlich.","og_url":"https:\/\/locaterisk.com\/en\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/","og_site_name":"LocateRisk","article_published_time":"2026-06-17T11:23:32+00:00","article_modified_time":"2026-07-08T08:15:29+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Kristina Hoinkis","Est. reading time":"4 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)","datePublished":"2026-06-17T11:23:32+00:00","dateModified":"2026-07-08T08:15:29+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/"},"wordCount":761,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png","keywords":["ACPT WordPress Plugin","Code Injection","CVE-2026-25470","CVSS 10.0","EASM","Patchstack","RCE","Schwachstelle","VRM","WordPress Sicherheit"],"articleSection":["Blog post"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/","url":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/","name":"CVE-2026-25470: Critical Vulnerability in the WordPress Plugin ACPT (CVSS 10.0) - LocateRisk","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png","datePublished":"2026-06-17T11:23:32+00:00","dateModified":"2026-07-08T08:15:29+00:00","description":"Analysis of the critical remote code execution vulnerability CVE-2026-25470 (CVSS 10.0) in the WordPress plugin ACPT. Versions up to 2.0.47 are affected. Immediate action is required.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/06\/cve-2026-25470-vulnerability-disclosure-featured.png","width":400,"height":400,"caption":"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/cve-2026-25470-kritische-schwachstelle-wordpress-plugin-acpt\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"CVE-2026-25470: Kritische Schwachstelle in WordPress-Plugin ACPT (CVSS 10.0)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"Measure and compare IT security","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/8632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/comments?post=8632"}],"version-history":[{"count":3,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/8632\/revisions"}],"predecessor-version":[{"id":9133,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/posts\/8632\/revisions\/9133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media\/8634"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/media?parent=8632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/categories?post=8632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/en\/wp-json\/wp\/v2\/tags?post=8632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}