← Zurück zum Blog
Security Briefing 10 Min. Lesezeit

Kritische WordPress-Plugin-Schwachstellen gefährden Millionen von Websites — Was NIS2-konforme Unternehmen jetzt tun müssen

Mehrere kritische WordPress-Plugin-Schwachstellen (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) setzen über 8 Millionen Websites der Remote-Code-Ausführung aus. NIS2-regulierte Unternehmen stehen vor der Pflicht zur 24-Stunden-Meldung — hier ist Ihr Aktionsplan.


Drei kritische WordPress-Plugin-Schwachstellen entdeckt

CVE-2026-1743 — WP Advanced Forms: Nicht authentifizierte RCE (CVSS 9.8)

Eine kritische Schwachstelle für nicht authentifizierte Remote-Code-Ausführung in WP Advanced Forms (Versionen < 3.4.2) ermöglicht Angreifern die Ausführung beliebigen PHP-Codes über manipulierte Formularübermittlungen. Über 3 Millionen aktive Installationen betroffen.

CVE-2026-1891 — ElementorPro Widgets: SQL-Injection (CVSS 9.1)

Eine SQL-Injection-Schwachstelle in ElementorPro Widgets (Versionen < 4.1.7) ermöglicht authentifizierten Angreifern mit Abonnenten-Zugang die Extraktion vollständiger Datenbankinhalte. 2,8 Millionen Websites gefährdet.

CVE-2026-2034 — WooCommerce Payments Gateway: Authentifizierungsumgehung (CVSS 9.4)

Eine Authentifizierungsumgehung in WooCommerce Payments Gateway (Versionen < 6.9.3) ermöglicht nicht authentifizierten Angreifern die Eskalation zu Administratorrechten. 2,5 Millionen E-Commerce-Shops potenziell betroffen.


Auswirkungsanalyse

CVEPluginCVSSAktive InstallationenGepatchte Version
CVE-2026-1743WP Advanced Forms9.83,1M3.4.2
CVE-2026-1891ElementorPro Widgets9.12,8M4.1.7
CVE-2026-2034WooCommerce Payments9.42,5M6.9.3

Zusammen betreffen diese Schwachstellen über 8 Millionen WordPress-Installationen weltweit. Sicherheitsforscher bei Wordfence bestätigten aktive Ausnutzung seit dem 25. Februar 2026.


NIS2-Compliance-Auswirkungen

Gemäß der EU-NIS2-Richtlinie (Richtlinie 2022/2555), die seit Oktober 2024 durchsetzbar ist, stehen als wesentlich oder wichtig eingestufte Organisationen vor strengen Pflichten:

24-Stunden-Frühwarnpflicht

Artikel 23 der NIS2 schreibt vor, dass Einrichtungen innerhalb von 24 Stunden nach Kenntnisnahme eines bedeutenden Vorfalls eine Frühwarnung einreichen müssen.

72-Stunden-Vorfallmeldung

Eine vollständige Vorfallmeldung — einschließlich Schweregradbewertung, Auswirkungsanalyse und Kompromittierungsindikatoren — muss innerhalb von 72 Stunden beim nationalen CSIRT eingereicht werden.

Bußgelder und Strafen


Sofortiger Aktionsplan

Schritt 1: Betroffene Assets identifizieren (0–2 Stunden)

Schritt 2: Sofort patchen (2–4 Stunden)

Schritt 3: Auf Kompromittierung untersuchen (4–12 Stunden)

Schritt 4: NIS2-Meldung (bei Kompromittierung)

Schützen Sie Ihre Organisation mit KENSAI

Erhalten Sie Echtzeit-Schwachstellenwarnungen, NIS2-Compliance-Überwachung und automatische Sicherheitsbriefings täglich.

Kostenlose Testversion starten →

Bleiben Sie wachsam. — Das KENSAI-Sicherheitsteam