SurveyJS: Drag & Drop WordPress Form Builder <= 2.5.2 - Cross-Site Request Forgery zu Survey Erstellung
Plattform
wordpress
Komponente
surveyjs
Behoben in
2.5.4
CVE-2025-13139 describes a Cross-Site Request Forgery (CSRF) vulnerability present in the SurveyJS: Drag & Drop WordPress Form Builder plugin. This vulnerability allows unauthenticated attackers to create surveys by crafting malicious requests and tricking a site administrator into executing them. The vulnerability impacts versions 0.0.0 through 2.5.2 of the plugin, and a fix is available in version 2.5.3.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarienwird übersetzt…
An attacker exploiting this CSRF vulnerability could create arbitrary surveys on a WordPress site without authentication. This could lead to the injection of malicious content, data theft, or further exploitation depending on the survey's functionality and how it's used. The impact is amplified if the site administrator is tricked into performing actions that automatically publish or distribute these malicious surveys. While the initial attack requires social engineering to trick an administrator, the potential consequences can be significant, potentially impacting site integrity and user data.
Ausnutzungskontextwird übersetzt…
This vulnerability was publicly disclosed on 2026-01-24. No public proof-of-concept (POC) code has been released at the time of writing. The vulnerability is not currently listed on the CISA KEV catalog. Given the relatively straightforward nature of CSRF exploitation, it is possible that attackers may develop and deploy PoCs in the future.
Wer Ist Gefährdetwird übersetzt…
WordPress sites utilizing the SurveyJS: Drag & Drop Form Builder plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally may also be vulnerable if they haven't applied the patch.
Erkennungsschrittewird übersetzt…
• wordpress / composer / npm:
grep -r 'SurveyJS_AddSurvey' /var/www/html/wp-content/plugins/survey-js/includes/ajax-actions.php• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=SurveyJS_AddSurvey&... # Check for missing nonceAngriffszeitlinie
- Disclosure
disclosure
Bedrohungsanalyse
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Keine — kein Vertraulichkeitseinfluss.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Paketinformationen
- Aktive Installationen
- 500
- Plugin-Bewertung
- 4.7
- Erfordert WordPress
- 6.4+
- Kompatibel bis
- 6.9.4
- Erfordert PHP
- 8.2+
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2025-13139 is to immediately upgrade the SurveyJS: Drag & Drop WordPress Form Builder plugin to version 2.5.3 or later. If upgrading is not immediately feasible, consider implementing stricter input validation and output encoding on the SurveyJS_AddSurvey AJAX action. Additionally, enabling WordPress's core CSRF protection mechanisms, such as using nonces, can provide an additional layer of defense. Regularly review WordPress plugin installations and ensure they are from trusted sources.
So beheben
Aktualisieren Sie auf Version 2.5.3 oder eine neuere gepatchte Version
CVE-Sicherheitsnewsletter
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Häufig gestellte Fragenwird übersetzt…
What is CVE-2025-13139 — CSRF in SurveyJS Drag & Drop Form Builder?
CVE-2025-13139 is a Cross-Site Request Forgery (CSRF) vulnerability in the SurveyJS Drag & Drop WordPress Form Builder plugin, allowing attackers to create surveys via forged requests.
Am I affected by CVE-2025-13139 in SurveyJS Drag & Drop Form Builder?
You are affected if you are using SurveyJS Drag & Drop Form Builder versions 0.0.0 through 2.5.2. Upgrade to 2.5.3 or later to mitigate the risk.
How do I fix CVE-2025-13139 in SurveyJS Drag & Drop Form Builder?
Upgrade the SurveyJS Drag & Drop Form Builder plugin to version 2.5.3 or later. Consider implementing stricter input validation and enabling WordPress's core CSRF protection.
Is CVE-2025-13139 being actively exploited?
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted in the future.
Where can I find the official SurveyJS advisory for CVE-2025-13139?
Refer to the official SurveyJS advisory on their website or GitHub repository for detailed information and updates.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.