Live
* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access
CVE-2026-5118 Critical 21. Mai 2026 CVSS 9.8/10

🔴 CVE-2026-5118: Critical Schwachstelle

CVE-2026-5118
9.8/10
Critical
Nein
Various
Network
NVD Quelle

„`html

Zusammenfassung

Die Divi Form Builder Plugin für WordPress weist in Versionen bis einschließlich 5.1.2 eine kritische Privilege Escalation Schwachstelle auf. Unauthentifizierte Angreifer können durch Manipulation des „role“-Parameters während der Benutzerregistrierung Administrator-Konten erstellen, da die Eingabe nicht gegen die konfigurierten Standardrollen validiert wird.

Betroffene Systeme

Alle WordPress-Installationen mit dem Divi Form Builder Plugin in den Versionen bis 5.1.2 sind betroffen. Das Plugin wird auf zahlreichen WordPress-Seiten eingesetzt, da es Teil des beliebten Divi Theme Builders ist und für die Erstellung von Registrierungsformularen verwendet wird.

Technische Details

Die Schwachstelle liegt in der fehlerhaften Validierung des POST-Parameters „role“ während des Registrierungsprozesses. Der Plugin akzeptiert benutzergesteuerte Eingaben zur Rollenzuweisung, ohne diese gegen die vom Administrator konfigurierten Standardrollen zu überprüfen. Ein Angreifer kann ein einfaches Formular abfangen und den Parameter von beispielsweise „subscriber“ in „administrator“ ändern, bevor die Anfrage verarbeitet wird. Da keine serverseitige Validierung stattfindet, wird das Konto mit erweiterten Rechten erstellt. Dies ermöglicht vollständigen Zugriff auf das WordPress-Backend.

Empfohlene Massnahmen

Sofortmassnahmen: Das Divi Form Builder Plugin sollte umgehend deaktiviert werden, bis ein Patch verfügbar ist. Als temporärer Workaround können alternative Form Builder Plugins wie WPForms oder Gravity Forms eingesetzt werden. Zusätzlich sollte eine Web Application Firewall (WAF) Regeln implementieren, die verdächtige role-Parameter in POST-Requests blockiert.

Monitoring: Prüfen Sie Ihre Benutzer-Datenbank auf verdächtig erstellte Administrator-Konten mit unbekannten E-Mail-Adressen.

Bewertung

Diese Sicherheitslücke erfordert sofortige Maßnahmen. Mit einem CVSS-Score von 9.8 und fehlenden Patch ermöglichen Angreifer eine vollständige Übernahme von WordPress-Installationen. Ohne zeitnahe Remediation besteht extremes Kompromittierungsrisiko.

„`

🛒

Empfohlene Security-Tools

* Affiliate-Links
🔑 Empfohlen
YubiKey Security Key NFC
Hardware-Sicherheitsschluessel fuer Zwei-Faktor-Authentifizierung. Schuetzt Accounts selbst bei gestohlenen Passwoertern.
ab 29,00 € Amazon →
🛡 Netzwerk
GL.iNet GL-MT3000 Reise-Router
VPN-faehiger Pocket-Router mit WiFi 6. Schuetzt dein Netzwerk unterwegs und zu Hause vor Angriffen.
ab 69,00 € Amazon →
📘 Buch
Hacking & Cyber Security mit KI
Prompt Engineering, Phishing, Pentesting mit ChatGPT. Perfekt fuer IT-Security Einsteiger und Profis.
ab 24,99 € Amazon →
💻 Buch
Ethical Hacking - Das grosse Buch
Hacking mit Python Schritt fuer Schritt erklaert. Verstehe wie Angreifer denken und schuetze deine Systeme.
ab 39,99 € Amazon →
🐍 Buch
Python fuer Einsteiger
Programmieren lernen mit Python - Schritt fuer Schritt zum Python-Profi. Ideal fuer Security Automation.
ab 29,99 € Amazon →

* Als Amazon-Partner verdiene ich an qualifizierten Kaeufen. Diese Links helfen dabei, HuntingThreats kostenlos zu betreiben.

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen