Kostenlos scannen
MEDIUMCVE-2025-14077CVSS 4.3

Simcast <= 1.0.0 - Cross-Site Request Forgery to Settings Update

Plattform

wordpress

Komponente

simcast

Behoben in

1.0.1

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2025-14077 describes a Cross-Site Request Forgery (CSRF) vulnerability affecting the Simcast plugin for WordPress. This flaw allows unauthenticated attackers to manipulate plugin settings if they can trick a site administrator into performing an action. The vulnerability impacts versions 1.0.0 and earlier, and a fix is expected in a future release.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of this CSRF vulnerability is the potential for unauthorized modification of the Simcast plugin's settings. An attacker could craft a malicious link or embed a hidden form on a website that, when visited by an administrator, would trigger a forged request to alter the plugin's configuration. This could lead to unexpected behavior, data corruption, or even compromise the integrity of the WordPress site. While the plugin itself may not handle sensitive data directly, changes to its settings could indirectly impact other functionalities or expose the site to further vulnerabilities.

Ausnutzungskontextwird übersetzt…

This vulnerability was publicly disclosed on 2026-01-07. No public proof-of-concept (PoC) code has been released at the time of writing. The EPSS score is pending evaluation. It is not currently listed on the CISA KEV catalog.

Wer Ist Gefährdetwird übersetzt…

WordPress sites utilizing the Simcast plugin, particularly those with administrators who frequently click on links from untrusted sources, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected if one site is compromised.

Erkennungsschrittewird übersetzt…

• wordpress / composer / npm:

grep -r 'settingsPage' /var/www/html/wp-content/plugins/simcast/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/simcast/settings.php | grep -i 'csrf token'

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.02% (3% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentesimcast
Herstellerwordfence
Betroffener BereichBehoben in
0 – 1.0.01.0.1

Schwachstellen-Klassifikation (CWE)

CWE-352

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert
Kein Patch — 137 Tage seit Offenlegung

Mitigation und Workaroundswird übersetzt…

The immediate mitigation for CVE-2025-14077 is to disable or remove the Simcast plugin until a patched version is available. If disabling is not an option, implement strict access controls and educate administrators about the risks of clicking on suspicious links or forms. Consider using a Web Application Firewall (WAF) with CSRF protection rules to filter out malicious requests. Regularly review plugin settings for any unauthorized changes. Monitor WordPress logs for unusual activity related to the Simcast plugin.

So beheben

Kein bekannter Patch verfügbar. Bitte überprüfen Sie die Details der Vulnerability im Detail und setzen Sie Mitigationen basierend auf der Risikobereitschaft Ihrer Organisation ein. Es kann am besten sein, die betroffene Software zu deinstallieren und eine Alternative zu finden.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2025-14077 — CSRF in Simcast WordPress Plugin?

CVE-2025-14077 is a Cross-Site Request Forgery (CSRF) vulnerability in the Simcast WordPress plugin, allowing attackers to modify plugin settings via forged requests.

Am I affected by CVE-2025-14077 in Simcast WordPress Plugin?

If you are using Simcast plugin version 1.0.0 or earlier, you are potentially affected by this vulnerability.

How do I fix CVE-2025-14077 in Simcast WordPress Plugin?

Upgrade to a patched version of the Simcast plugin as soon as it becomes available. Until then, disable or remove the plugin.

Is CVE-2025-14077 being actively exploited?

There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.

Where can I find the official Simcast advisory for CVE-2025-14077?

Check the Simcast plugin's official website or WordPress plugin repository for updates and advisories related to CVE-2025-14077.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen