600.000 WordPress-Webseiten von Sicherheitslücke betroffen – Update dringend empfohlen
Am 17. August 2025 wurde im beliebten WordPress-Plugin Fluent Forms (über 600.000 aktive Installationen) eine schwerwiegende Sicherheitslücke entdeckt.
Es handelt sich um eine PHP Object Injection Vulnerability, die es Angreifern mit einem einfachen Benutzerkonto (z. B. Subscriber) ermöglicht, beliebige Dateien auf dem Server auszulesen – darunter auch sensible Daten wie die wp-config.php mit Zugangsdaten und Sicherheitsschlüsseln.
Die Lücke betrifft die Versionen 5.1.16 bis 6.1.1 und wurde am 29. August 2025 in der Version 6.1.2 vollständig geschlossen.
👉 Unsere Empfehlung:
Alle Betreiber von WordPress-Seiten, die Fluent Forms einsetzen, sollten das Plugin sofort auf Version 6.1.2 oder höher aktualisieren.
Details zur Schwachstelle
Betroffen: Fluent Forms 5.1.16 – 6.1.1
Gefährdung: Arbitrary File Read (Angreifer können Dateien auf dem Server lesen)
Gefahrenpotenzial: Auslesen sensibler Daten, potentiell Remote Code Execution
Patch: Version 6.1.2
CVE-ID: CVE-2025-9260
Die Sicherheitsforscher von Wordfence haben diese Lücke im Rahmen ihres Bug-Bounty-Programms entdeckt und an den Entwickler WPManageNinja gemeldet.
👉 Zur Originalmeldung von Wordfence
WordPress-Webseiten sind ohne regelmäßige Updates einem hohen Risiko ausgesetzt. Betreiber sollten daher immer sicherstellen, dass Plugins und Themes aktuell sind.
Wir empfehlen allen Kunden, die regelmäßige Sicherheits- und Wartungspakete zu nutzen, damit kritische Lücken wie diese sofort geschlossen werden.