
| Plugin-Name | WP Media Folder Addon |
|---|---|
| Art der Schwachstelle | Arbiträrer Dateidownload |
| CVE-Nummer | CVE-2026-9690 |
| Dringlichkeit | Hoch |
| CVE-Veröffentlichungsdatum | 2026-06-06 |
| Quell-URL | CVE-2026-9690 |
Dringende Sicherheitswarnung: Arbiträrer Dateidownload (CVE-2026-9690) im WP Media Folder Addon (<= 4.0.1)
Eine hochpriorisierte Schwachstelle, die das WP Media Folder Addon-Plugin (Versionen <= 4.0.1) betrifft, wurde öffentlich bekannt gegeben. Das Problem wird als CVE-2026-9690 verfolgt und als Schwachstelle für den arbiträren Dateidownload klassifiziert, die ohne Authentifizierung ausgenutzt werden kann. Eine gepatchte Version — Version 4.0.2 — ist verfügbar und wir drängen alle Seitenbesitzer und Administratoren, sofort zu handeln.
Als Anbieter von WordPress-Firewalls und Sicherheitsoperationen veröffentlichen wir diese Warnung, um praktische, umsetzbare Anleitungen zu geben: was die Schwachstelle ist, wie Angreifer sie ausnutzen können, wie man Anzeichen einer Ausnutzung erkennt, pragmatische kurzfristige Minderung (einschließlich WAF/virtueller Patchansätze) und langfristige Schritte zur Risikominderung und Verbesserung der Sicherheit des Plugin-Lebenszyklus.
Diese Warnung ist in einem klaren, pragmatischen Ton verfasst, der für Website-Besitzer, Entwickler und Administratoren geeignet ist, die für die Sicherheit von WordPress verantwortlich sind.
Zusammenfassung — was Sie jetzt wissen müssen
- Betroffene Software: WP Media Folder Addon-Plugin (Versionen <= 4.0.1).
- Problem: Arbiträrer Dateidownload (nicht authentifiziert).
- CVE: CVE-2026-9690.
- CVSS (Patchstack-Bewertung): 7.5 (Hoch).
- Gepatchte Version: 4.0.2 (sofort aktualisieren).
- Ausnutzung: Kann durch nicht authentifizierte HTTP-Anfragen ausgelöst werden — Angreifer können beliebige Dateien von Ihrem Webserver herunterladen, wenn das Plugin vorhanden und anfällig ist.
- Sofortige Maßnahmen: Aktualisieren Sie auf 4.0.2. Wenn Sie nicht sofort aktualisieren können, wenden Sie eine oder mehrere der unten beschriebenen Minderungstechniken an (Plugin deaktivieren, Zugriff auf anfällige Endpunkte einschränken, WAF-Regeln / virtuelle Patches anwenden).
- Warum das wichtig ist: Angreifer können sensible Dateien (Konfigurationsdateien, Backups, Anmeldeinformationen) abrufen, was zu Diebstahl von Anmeldeinformationen, Privilegieneskalation, vollständiger Kompromittierung der Website, Datenleckagen und nachgelagerten Angriffen führen kann.
Wie die Schwachstelle funktioniert (hochgradig, nicht ausführbar)
Die Schwachstelle ist ein Fehler beim arbiträren Dateidownload in einem Plugin-Endpunkt, der die Dateipfadeingaben nicht ordnungsgemäß validiert oder einschränkt. Ohne angemessene Sanitärmaßnahmen oder Zugriffskontrolle konstruiert ein Angreifer eine HTTP-Anfrage, die dazu führt, dass das Plugin den Inhalt beliebiger Dateien vom Webserver zurückgibt. Da der Endpunkt ohne Authentifizierung zugänglich ist, kann dies aus der Ferne ohne jegliche Anmeldeinformationen durchgeführt werden.
Schlüsselkomponenten, die diese Schwachstellen gefährlich machen:
- Nicht authentifizierter Zugriff: kein Login erforderlich.
- Kontrolle des Dateipfads: Ein Angreifer kann beeinflussen, welche Datei gelesen wird (direkter Dateiname, relative Pfade oder Traversal-Token).
- Sensible Dateien im Webroot: Dateien wie wp-config.php, Backup-Archive, .env-Dateien oder andere Admin-Exporte können heruntergeladen werden.
- Automatisierungspotenzial: Sobald ein PoC existiert, können Massenscans und automatisierte Exploit-Tools Tausende von Websites anvisieren.
Hinweis: Wir schließen absichtlich keinen Proof-of-Concept-Exploit-Code hier ein. Das würde Angreifern helfen. Stattdessen geben wir sichere technische Anleitungen zur Erkennung und Minderung.
Potenzielle Auswirkungen — Worst-Case-Szenarien
Wenn ein Angreifer diesen Fehler beim Herunterladen beliebiger Dateien auf Ihrer Website erfolgreich ausnutzt, umfassen die potenziellen Auswirkungen:
- Offenlegung von Datenbankanmeldeinformationen (aus wp-config.php), die den Remote-Datenbankzugriff und die Wiederverwendung von Anmeldeinformationen an anderer Stelle ermöglichen.
- Offenlegung von geheimen Schlüsseln und Salzen, die Session-Hijacking oder das Fälschen von Authentifizierungstoken ermöglichen.
- Herunterladen von Backup-Archiven, die Website-Inhalte und Anmeldeinformationen enthalten.
- Offenlegung privater Uploads oder Exporte, die persönliche Daten von Nutzern (PII) enthalten.
- Laterale Bewegung und vollständige Übernahme der Website (wenn der Angreifer geleakte Anmeldeinformationen mit anderen Schwachstellen kombiniert).
- Blacklisting, SEO-Schäden und Monetarisierungsverluste durch die Einfügung bösartiger Inhalte oder Umleitungsketten.
Da diese Angriffe oft automatisiert sind, kann das Zeitfenster zwischen Offenlegung und weitreichender Ausnutzung Stunden bis Tage betragen. Behandeln Sie diese Schwachstelle als dringend.
Was Sie jetzt sofort tun sollten (Schritt-für-Schritt)
- Aktualisieren Sie sofort das Plugin
– Die sichere Version ist 4.0.2. Aktualisieren Sie das WP Media Folder Addon so schnell wie möglich auf 4.0.2 über das WordPress-Admin-Panel oder Ihre Bereitstellungspipeline. - Wenn Sie nicht sofort aktualisieren können, wenden Sie mindestens eine kurzfristige Minderung an:
– Deaktivieren Sie vorübergehend das WP Media Folder Addon-Plugin, bis Sie aktualisieren können.
– Blockieren Sie den Zugriff auf die anfälligen Plugin-Endpunkte mit Ihrer Website-Firewall oder Ihrem Webserver (Beispiele unten).
– Beschränken Sie den Zugriff nach IP auf administrative und Plugin-Endpunkte, wo immer möglich. - Verwenden Sie eine Web Application Firewall (WAF), um Exploit-Muster zu blockieren
– Implementieren Sie Regeln, um Anfragen zu blockieren, die versuchen, sensible Dateinamen (wp-config.php, .env, Backups) abzurufen oder Pfadtraversalsequenzen (../) einzuschließen.
– Verwenden Sie virtuelles Patching, um die genaue anfällige Anforderungs-Signatur zu blockieren, bis das Plugin aktualisiert wird. - Überwachen Sie Protokolle und suchen Sie nach Anzeichen für eine Ausnutzung (siehe Abschnitt zur Erkennung).
- Machen Sie ein Backup, bevor Sie Änderungen vornehmen.
– Erstellen Sie ein frisches, offline Backup Ihrer Website und Datenbank, bevor Sie Updates oder Maßnahmen zur Behebung durchführen. - Rotieren Sie Geheimnisse, wenn Sie einen Kompromiss vermuten
– Wenn Sie Hinweise sehen, dass ein Angreifer sensible Dateien heruntergeladen hat (z. B. unerwartete Anfragen für wp-config.php), ändern Sie die Datenbankanmeldeinformationen, API-Schlüssel, Salze und alle exponierten Anmeldeinformationen. - Wenden Sie nach dem Vorfall Härtungs- und Überwachungsmaßnahmen an (siehe langfristige Empfehlungen unten).
Sichere Erkennung: Worauf man in Protokollen achten sollte
Durchsuchen Sie Ihre Zugriffs- und Webserver-Protokolle (und WAF-Protokolle) nach verdächtigen Indikatoren, die mit der Schwachstelle korrelieren. Achten Sie auf:
- Anfragen, die bekannte sensible Dateinamen enthalten:
- wp-config.php
- .env
- backup*.zip oder *.sql
- .git/config oder .svn/entries
- private Schlüssel / Zertifikatdateien (z. B. .pem)
- Ungewöhnliche Abfragezeichenfolgen, die nach Plugin-Endpunkten oder Download-Routinen fragen, bei denen bekannt ist, dass das Plugin einen Dateinamenparameter akzeptiert.
- Requests with path traversal tokens: “../” encoded as , ..\ etc.
- Hohe Anfragenvolumen an plugin-spezifische URLs von einer IP oder einer kleinen Gruppe von IPs.
- 200 OK-Antworten für Dateien, die nicht direkt zugänglich sein sollten.
Protokollabfragebeispiele, nach denen gesucht werden kann (sicher, nicht ausnutzbar):
- “wp-config.php” in der Anforderungs-URI
- “” (URL‑encoded ../)
- Dateinamen, die mit Backup-Mustern übereinstimmen (.sql, .zip), die von Plugin-Endpunkten angefordert werden
Wenn Sie verdächtige Anfragen bemerken, bewahren Sie die Protokolle auf, erfassen Sie die IP-Adressen und Zeitstempel und behandeln Sie sie als potenzielle Kompromittierungsindikatoren.
Kurzfristige Maßnahmen, die Sie sofort anwenden können
Wenn Sie das Plugin nicht sofort aktualisieren können, priorisieren Sie diese Maßnahmen in dieser Reihenfolge:
- Überprüfen Sie die Admin-Aktivitätsprotokolle (sofern verfügbar) und die Zugriffsprotokolle des Webservers zur Zeit der vermuteten Ereignisse. Suchen Sie nach:
– Einfachste und sicherste sofortige Maßnahme. Wenn das Plugin für den täglichen Betrieb nicht kritisch ist, nehmen Sie es offline, bis Sie den Patch anwenden können. - Blockieren Sie die anfälligen Endpunkte auf Serverebene
– Fügen Sie Webserver (Apache/Nginx) Regeln hinzu, um den Zugriff auf die spezifischen Plugin-Dateien oder PHP-Endpunkte, die Downloads verarbeiten, zu verweigern.
– Beispiel (Nginx, generelle sichere Regel):
location ~* /wp-content/plugins/wp-media-folder-addon/.+ {
- Implementieren Sie WAF / virtuelle Patch-Regeln
– Blockieren Sie Anfragen, die versuchen, hochriskante Dateinamen herunterzuladen oder Traversierungszeichen enthalten, die auf Plugin-Endpunkte abzielen.
– Blockieren Sie bekannte Signaturen der Schwachstelle (ohne Exploit-Payloads zu veröffentlichen). - Den Zugriff nach IP einschränken
– Wenn Ihr Admin-Team statische IPs hat, erlauben Sie nur diesen IPs den Zugriff auf Plugin-Endpunkte. - Stellen Sie sicher, dass sensible Dateien nicht aus öffentlichen Verzeichnissen bereitgestellt werden
– Verschieben Sie Backups und Konfigurationsexporte aus dem Webroot.
– Stellen Sie sicher, dass .htaccess oder Serverregeln den direkten Download kritischer Dateien verhindern.
Wichtig: Wenden Sie Maßnahmen an, während Sie die Möglichkeit zur Aktualisierung des Plugins erhalten. WAF-Regeln sollten präzise genug sein, um normales Benutzerverhalten nicht zu stören.
Beispielideen für WAF/virtuelles Patchen-Regeln (konzeptionell, sicher)
Unten sind konzeptionelle Regelmuster, die Ihre WAF verwenden kann, um Exploit-Versuche zu blockieren. Diese sind nicht ausführbar und sollen von Sicherheitsteams über ihre Firewall/UIs implementiert werden.
- Blockieren Sie Anfragen an Plugin-Download-Endpunkte, die Pfad-Traversierungssequenzen enthalten:
- Bedingung: Die Anfrage-URI enthält “/wp-content/plugins/wp-media-folder-addon/” UND die Anfrage enthält “../” oder deren Kodierungen.
- Blockieren Sie Anfragen, bei denen der Abfrageparameter bekannten sensiblen Dateinamen entspricht:
- Bedingung: Abfragezeichenfolgenparameter (z. B. Datei, Download, Pfad) entspricht Regex für (wp-config\.php|\.env|\.git|backup.*\.(zip|sql|tar|gz))
- Blockieren Sie offensichtliche Scanning- oder Aufzählungsmuster:
- Bedingung: > X Anfragen pro Minute an Plugin-Endpunkte von derselben IP
- Blockieren Sie Antworten, die sensible Inhaltsmuster zurückgeben
- Bedingung: Ausgehende Antwort enthält “DB_NAME” oder “DB_USER” (mit Vorsicht anwenden — Inhaltsinspektion erfordert Datenschutzkontrollen)
Arbeiten Sie mit Ihrer Firewall-Oberfläche, um diese Regeln als temporäre virtuelle Patches umzusetzen. Überwachen Sie Fehlalarme und passen Sie sie entsprechend an.
Nach-Exploitation-Prüfungen und Vorfallreaktion
Wenn Sie Beweise für eine Ausnutzung entdecken (z. B. Angreifer hat wp-config.php über Plugin-Endpunkt angefordert), befolgen Sie diese Schritte:
- Enthalten
– Blockieren Sie sofort die Angreifer-IP-Adressen auf WAF-, Webserver- oder Netzwerkebene.
– Deaktivieren Sie vorübergehend das verwundbare Plugin. - Beweise sichern
– Bewahren Sie Serverprotokolle, WAF-Protokolle und Backups für forensische Analysen auf.
– Überschreiben Sie keine Protokolle oder entfernen Sie Beweise. - Umfang bewerten
– Bestimmen Sie, welche Dateien zugegriffen oder heruntergeladen wurden.
– Überprüfen Sie auf modifizierte Dateien, Webshells oder neue administrative Benutzer. - Zugangsdaten und Geheimnisse regelmäßig wechseln
– Rotieren Sie sofort DB-Anmeldeinformationen, API-Schlüssel, Admin-Passwörter und geheime Schlüssel/Salze, die in wp-config.php oder anderen Dateien enthalten sind.
– Ungültig machen von Sitzungen, wenn Sitzungstoken gefälscht werden könnten. - Bereinigen und wiederherstellen
– Wenn die Site infiziert ist, stellen Sie ein sauberes Backup wieder her, das vor dem Kompromiss erstellt wurde.
– Installieren Sie Kern-, Theme- und Plugin-Dateien aus vertrauenswürdigen Quellen neu. - Härtung und Überwachung
– Wenden Sie den Plugin-Patch (4.0.2) an oder deaktivieren Sie das Plugin, wenn es nicht benötigt wird.
– Stärken Sie die Überwachung, Protokollierung und Alarmierung für verdächtige Downloads oder Admin-Zugriffe. - Offenlegung und Compliance
– Wenn sensible Benutzerdaten offengelegt wurden, befolgen Sie die geltenden Gesetze zur Benachrichtigung bei Datenschutzverletzungen und informieren Sie die betroffenen Parteien wie erforderlich.
Wenn Sie sich in der Forensik oder Wiederherstellung nicht sicher fühlen, engagieren Sie ein qualifiziertes Incident-Response- oder WordPress-Sicherheitsteam.
Prüfungscheckliste für verwaltete Sicherheitsteams
- Fügen Sie IDS/WAF-Regeln für Dateinamen und Traversierungsmuster hinzu.
- Durchsuchen Sie die Zugriffsprotokolle nach Anfragen, die auf Plugin-Endpunkte mit verdächtigen Parametern zugreifen.
- Suchen Sie nach ausgehendem Datenverkehr vom Server unmittelbar nach verdächtigen Anfragen (Datenexfiltration).
- Stellen Sie sicher, dass Backups außerhalb des Standorts und nicht im Webroot gespeichert werden.
- Überprüfen Sie die Integrität der Plugin-Dateien mit den Versionen des upstream-Repositories.
- Validieren Sie, dass keine neu erstellten Administratorbenutzer oder modifizierten Kern-Dateien vorhanden sind.
- Rotieren Sie alle Geheimnisse, die möglicherweise offengelegt wurden.
Warum ein WAF / virtuelle Patches für diese Art von Schwachstelle wichtig sind
Arbiträre Datei-Download-Fehler werden oft schnell nach der Offenlegung ausgenutzt. Während das Aktualisieren des Plugins die vollständige Lösung ist, kauft Ihnen die WAF-basierte virtuelle Patch-Lösung Zeit und verhindert automatisierte Massen-Ausnutzung, während Sie Updates planen. Eine richtig konfigurierte WAF kann Exploit-Versuche blockieren:
- selbst wenn das anfällige Plugin nicht sofort aktualisiert werden kann,
- in großem Maßstab über mehrere Websites,
- mit minimalen Auswirkungen auf legitimen Verkehr, wenn Regeln getestet und optimiert werden.
Virtuelle Patches sind kein Ersatz für Updates – sie sind eine Schutzschicht, um das Risiko während des kritischen Zeitfensters zu reduzieren.
Langfristige Härtung: Risiko im Zusammenhang mit Plugins reduzieren
- Inventarisieren und priorisieren Sie Plugins
– Führen Sie ein genaues Inventar der installierten Plugins und deren Eigentümer.
– Priorisieren Sie Updates für Plugins, die Endpunkte exponieren oder Dateioperationen durchführen. - Wenden Sie das Prinzip der geringsten Privilegien an
– Beschränken Sie Datei- und Verzeichnisberechtigungen, damit PHP nicht außerhalb der vorgesehenen Verzeichnisse lesen kann. - Vermeiden Sie es, Backups im Webroot zu speichern
– Speichern Sie Backups außerhalb des öffentlichen Webroots und stellen Sie sicher, dass sie über direkte URLs nicht zugänglich sind. - Verwenden Sie Staging-Umgebungen für Plugin-Updates
– Testen Sie Plugin-Updates in der Staging-Umgebung, bevor Sie sie in der Produktion bereitstellen. - Setzen Sie automatische Updates für risikoarme Plugins ein
– Für kritische Sicherheitsupdates sollten Sie automatisierte Updates mit Überwachung und Rückrollfunktion in Betracht ziehen. - Verwenden Sie Laufzeitschutz und Integritätsprüfungen des Dateisystems
– Überprüfen Sie regelmäßig die Prüfziffern für Kern-Dateien und überwachen Sie unbefugte Änderungen. - Pflegen Sie eine robuste Backup-Strategie
– Stellen Sie sicher, dass zeitpunktgenaue Backups und Offline-Kopien für die Wiederherstellung vorhanden sind.
Technischer Zeitplan und Attribution
- Gemeldet: 22. Okt. 2025 (von dem Forscher, der in der ursprünglichen Offenlegung genannt wird).
- Öffentliche Beratung: 4. Jun. 2026.
- Gepatcht: Version 4.0.2 veröffentlicht vom Plugin-Entwickler.
- CVE: Zugewiesene CVE‑2026‑9690.
Wir danken dem ursprünglichen Forscher für die verantwortungsvolle Meldung des Problems und ermutigen Entwickler, transparente Patch-Zeitpläne einzuhalten.
Häufig gestellte Fragen (kurz gefasst)
F: Ist das Update auf 4.0.2 ausreichend?
A: Ja – 4.0.2 enthält den Patch für die Schwachstelle beim arbiträren Datei-Download. Aktualisieren Sie so schnell wie möglich. Befolgen Sie auch die Schritte nach einem Kompromiss, wenn Sie verdächtige Aktivitäten vor oder während des Schwachstellenfensters gesehen haben.
F: Ich habe aktualisiert – muss ich trotzdem scannen?
A: Ja. Überprüfen Sie nach dem Update die Protokolle auf verdächtige Aktivitäten und führen Sie eine Integritätsprüfung der Dateien durch. Wenn es Anzeichen für eine frühere Ausnutzung gibt, befolgen Sie die oben genannten Schritte zur Incident Response.
F: Was ist, wenn mein Host die Updates verwaltet?
A: Bitten Sie Ihren Gastgeber, das Plugin-Update anzuwenden und eine Bestätigung bereitzustellen. Wenn sie das nicht können, folgen Sie den oben genannten kurzfristigen Maßnahmen.
Praktische Beispiele für Protokollsuchen (sicher, nicht ausbeuterisch)
Durchsuchen Sie Ihre Webserver-Protokolle mit diesen Mustern, um verdächtige Aktivitäten schnell zu finden. Ersetzen Sie access.log durch den Namen Ihrer Protokolldatei.
- Suchen Sie nach direkten Anfragen an wp-config:
grep -i "wp-config.php" access.log
- Suchen Sie nach kodierten Traversierungen:
grep -E "||\.\./" access.log
- Suchen Sie nach Anfragen gegen Plugin-Pfade:
grep -i "wp-content/plugins/wp-media-folder-addon" access.log
Wenn diese Suchen Treffer von nicht erwarteten Client-IP-Adressen oder Raten zurückgeben, die hoch genug sind, um zu scannen, untersuchen Sie dies.
Eine kurze technische Notiz für Entwickler
Beim Schreiben oder Überprüfen von Plugin-Code, der Dateien bereitstellt oder einen Dateinamenparameter akzeptiert:
- Vertrauen Sie niemals Benutzereingaben für Dateipfade. Kanonisieren und validieren Sie gegen eine Whitelist (z. B. erlaubte Verzeichnisse und erlaubte Erweiterungen).
- Verwenden Sie sichere Datei-Zugriffs-APIs und vermeiden Sie es, Benutzereingaben direkt in Dateisystempfade zu verketten.
- Erzwingen Sie ordnungsgemäße Zugriffskontrollprüfungen — authentifizierte und autorisierte Benutzer nur dort, wo es angemessen ist.
- Sanitieren und normalisieren Sie Pfadtrennzeichen; lehnen Sie alle Eingaben ab, die Traversierungssequenzen oder absolute Pfad-Token enthalten.
Sichern Sie Ihre Website noch heute — WP‑Firewall kostenlose Schutz
Titel: Stärken Sie Ihre Website schnell mit dem kostenlosen Plan von WP‑Firewall
Wenn Sie sofortigen Schutz wünschen, während Sie Plugins aktualisieren oder überprüfen, ziehen Sie in Betracht, den kostenlosen Plan von WP‑Firewall zu nutzen. Der Basisplan (kostenlos) bietet grundlegenden Schutz, der genau dieses Risiko abdeckt: verwaltete Firewall, unbegrenzte Bandbreite, eine dedizierte Webanwendungsfirewall (WAF), Malware-Scanning und Minderung der OWASP Top 10 Risiken. Es ist eine schnelle Möglichkeit, einen virtuellen Patch und automatisches Blockieren von Exploit-Mustern zu erhalten, während Sie das Patchen und die Wiederherstellung koordinieren. Erfahren Sie mehr und melden Sie sich an unter: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(Für Teams, die weitere Funktionen benötigen, bieten unsere Standard- und Pro-Pläne automatische Malware-Entfernung, IP-Blacklist/Whitelist-Kontrolle, monatliche Sicherheitsberichte, automatisiertes virtuelles Patchen und verwaltete Sicherheits-Add-Ons, um laufende Sicherheitsoperationen zu optimieren.)
Abschließender Rat vom WP‑Firewall-Team
- Behandeln Sie diese Schwachstelle als dringend. Aktualisieren Sie jetzt auf 4.0.2.
- Wenn Sie nicht sofort aktualisieren können, nehmen Sie das Plugin offline oder wenden Sie virtuelle Patches am Rand an.
- Überwachen Sie Protokolle und rotieren Sie Geheimnisse, wenn es Anzeichen für eine Ausnutzung gibt.
- Verwenden Sie WAF/virtuelle Patches, um das Risiko einer Massen-Ausnutzung zu verringern, während Sie die Probleme beheben.
- Härtung und Bestandsverwaltung verringern die Wahrscheinlichkeit ähnlicher Vorfälle in der Zukunft.
Wenn Sie Hilfe bei der Bewertung der Exposition über mehrere Standorte, der Implementierung virtueller Patches oder der Durchführung einer Nachuntersuchung benötigen, steht Ihnen unser Sicherheitsteam zur Verfügung. Priorisieren Sie den Patch, bewahren Sie Beweise auf und handeln Sie schnell — die Zeit zwischen Offenlegung und Ausnutzung ist kurz.
Credits und Referenzen:
- Schwachstellenreferenz: CVE‑2026‑9690 — Beliebiger Dateidownload im WP Media Folder Addon (<= 4.0.1). In 4.0.2 gepatcht.
- Offenlegung und erste Forschung werden dem meldenden Forscher zugeschrieben.
Bleiben Sie sicher und handeln Sie schnell. — WP‑Firewall Sicherheitsteam
