Eine neue WordPress-Sicherheitswarnung sorgt bei deutschen Website-Betreiber:innen für Aufsehen, nachdem Forschende eine schwere Schwachstelle in einem weit verbreiteten Design-Tool bestätigt haben. Das Problem betrifft das Plugin Elastic Theme Editor, ein Werkzeug, das auf vielen Websites kleiner Unternehmen und privater Projekte in ganz Europa – einschließlich der großen deutschen WordPress-Community – installiert ist.

Die als CVE-2025-12637 geführte Schwachstelle betrifft alle Plugin-Versionen bis einschließlich 0.0.3 und weist mit einem CVSS-Score von 8,8 ein hohes Risiko auf. Forschende von Wordfence stellten fest, dass die process_theme-Funktion des Plugins nicht kontrolliert, wie dynamischer Code erzeugt wird.

Durch dieses Versäumnis können bereits angemeldete Nutzer:innen mit einfachen Subscriber-Rechten Dateien hochladen, die der Server anschließend ausführen könnte. Angreifer:innen erhalten so die Möglichkeit, eigenen Code laufen zu lassen, die Seite zu übernehmen und möglicherweise auf sensible Daten zuzugreifen.

Dringende Maßnahmen für die Seitensicherheit

Sicherheitsanalyst:innen betonen, dass bislang kein öffentlicher Exploit bekannt ist und es keine Hinweise auf aktive Angriffe gibt. Dennoch stuften Red Hat, das NVD und weitere Sicherheitsstellen das Risiko als so hoch ein, dass sie zu sofortigem Handeln raten. Gerade deutsche Unternehmen – vor allem kleinere Betriebe, die stark auf WordPress setzen – sind besonders gefährdet, weil ihnen oft spezialisierte Sicherheitsteams fehlen und sie ungewöhnliche Uploads oder geänderte Einstellungen erst bemerken, wenn der Schaden bereits entstanden ist.

Administrator:innen sollten das Plugin auf eine Version höher als 0.0.3 aktualisieren oder – falls kein Patch verfügbar ist – ganz entfernen. Zudem wird empfohlen, die Server-Logs vollständig zu überprüfen, Integritätsprüfungen der Dateien durchzuführen und PHP-Ausführungsversuche eng zu überwachen. Eine Verschärfung der Benutzerrechte und Einschränkungen, wer Dateien hochladen darf, verringern das Risiko zusätzlich. Für jede Website, die das verwundbare Plugin eingesetzt hat, gilt eine umfassende Sicherheitsprüfung als unerlässlich, um eine stille Kompromittierung auszuschließen.

Die Schwachstelle zeigt erneut, wie ein einzelnes unsicheres Plugin die Sicherheit von Tausenden Websites in ganz Europa untergraben kann – und dass zeitnahes Patchen für alle WordPress-Betreiber:innen eine Kernaufgabe ist.