In dem beliebten WordPress-Plugin Forminator (über 600.000 aktive Installationen) wurde eine kritische Sicherheitslücke (CVE-2025-6463, CVSS 8.8) entdeckt. Die Schwachstelle erlaubt es Angreifern ohne Anmeldung, beliebige Dateien auf dem Server zu löschen – darunter auch die zentrale wp-config.php-Datei, was eine vollständige Übernahme der Website ermöglichen kann.
Der Fehler wurde am 20. Juni 2025 von Phat RiO – BlueRock über das Wordfence Bug Bounty Program gemeldet und mit 8.100 US-Dollar prämiert. Die Entwickler von WPMU DEV reagierten schnell und veröffentlichten am 30. Juni 2025 ein Update (Version 1.44.3), das die Lücke schließt. Wordfence-Nutzer mit Premium-Tarifen sind seit dem 26. Juni 2025 geschützt, Nutzer der kostenlosen Version ab dem 26. Juli 2025.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: