Alle XStore-Theme-Versionen bis einschließlich 9.5.4 sind von einer kritischen Schwachstelle betroffen (CVE-2025-11746 – ein Standardkennzeichen für bekannte Sicherheitslücken), die es Nutzern mit eingeschränkten Rechten ermöglicht, auf Seiten mit diesem Theme Code auszuführen.

Ein Fehler in der AJAX-Implementierung von XStore erlaubt authentifizierten Nutzerinnen und Nutzern mit „Subscriber+“-Konten – also Konten mit eingeschränkten, aber etwas erweiterten Rechten im Vergleich zu normalen Abonnenten – das Ausführen von PHP-Dateien und gefährdet damit Datenbestand und Server.

Mögliche Auswirkungen und Angriffsweg

Der Angriffsweg ist unkompliziert: Mehr als das Senden gewöhnlicher Webanfragen an die verwundbare AJAX-Funktion des Themes ist nicht nötig. Die Funktion dient eigentlich dazu, im Hintergrund ohne Seitenreload mit dem Server zu kommunizieren.

Dadurch wird die Schwachstelle besonders brisant, weil bereits ein kleiner Kreis authentifizierter Accounts sie ausnutzen kann.

Das Risiko steigt in Shared- oder Managed-Hosting-Umgebungen, in denen sich Subscriber-Konten leicht anlegen oder kompromittieren lassen.

Ein erfolgreicher Angriff kann zu diversen Sicherheitsvorfällen führen – von Seiten-Defacements über Datendiebstahl bis hin zum Abgreifen von Zugangsdaten.

Erkennung und Eindämmung der Bedrohung

Ob die Seite bereits kompromittiert wurde, lässt sich unter anderem daran erkennen, dass ungewöhnliche PHP-Aufrufe über den Endpunkt et_ajax_required_plugins_popup auftreten – er gehört zum Backend-AJAX-System des Themes. Prüft die Web-Server-Logs auf Anfragen an diesen Pfad, die auffällige Query-Parameter enthalten.

Weitere Indikatoren sind ungewöhnliche Datenabflüsse oder Administrator-Aktivitäten, die nach Logins von Nicht-Admin-Konten auftreten.

Unerwartete Änderungen an Dateien oder neu angelegte PHP-Dateien im Webroot – dem Hauptverzeichnis der Website – sind ebenso Alarmsignale.

Erste Priorität hat das Einspielen des Hersteller-Patches und das Update auf eine XStore-Version oberhalb von 9.5.4. Wo möglich, sollten Subscriber+-Konten eingeschränkt oder deaktiviert werden, um das Prinzip der geringsten Privilegien durchzusetzen.

Ein fortlaufendes Monitoring von PHP-Inclusions sowie neu angelegten Dateien im Webroot bleibt unerlässlich, vor allem zur Früherkennung. Die Upload-Kontrollen sollten verschärft werden, um unerlaubte Skripts abzuwehren.

In Managed-Hosting-Umgebungen müssen Patches so terminiert werden, dass es zu keinen Unterbrechungen kommt; Updates sollten vorher in einer Staging-Umgebung getestet werden.

Alle Änderungen sind zu protokollieren und den Administratoren zu melden, damit der Betrieb reibungslos weiterläuft.

Bleibt ihr wachsam und schließt CVE-2025-11746 zeitnah, schützt ihr eure WordPress-Site vor kritischen Sicherheitslücken.