Gratis scannen
MEDIUMCVE-2026-34896CVSS 4.3

Under Construction, Coming Soon & Maintenance Mode <= 2.1.1 - Cross-Site Request Forgery

Platform

wordpress

Component

under-construction-maintenance-mode

Opgelost in

2.1.2

2.1.2

AI Confidence: highNVDEPSS 0.0%Beoordeeld: apr 2026
Bekijk op NVD
Opslaan

CVE-2026-34896 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Under Construction, Coming Soon & Maintenance Mode'. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren, mits de aanvaller een beheerder kan misleiden om een actie uit te voeren. De kwetsbaarheid treft versies van de plugin tot en met 2.1.1. Een patch is beschikbaar in versie 2.1.2.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de website, het toevoegen van kwaadaardige content of zelfs het overnemen van beheerdersrechten. De aanvaller kan bijvoorbeeld een beheerder misleiden om een nieuwe gebruiker met beheerdersrechten aan te maken, of om instellingen te wijzigen die de beveiliging van de website in gevaar brengen. Dit kan resulteren in dataverlies, reputatieschade en financiële verliezen. Het is vergelijkbaar met andere CSRF-aanvallen waarbij de aanvaller de acties van een geauthenticeerde gebruiker misbruikt.

Uitbuitingscontext

De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. Het is waarschijnlijk dat deze kwetsbaarheid in de toekomst actief zal worden gebruikt door aanvallers. De KEV-status is momenteel onbekend.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten2 dreigingsrapporten

EPSS

0.02% (5% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impacttotal

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionRequiredOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentunder-construction-maintenance-mode
Leverancierwordfence
Getroffen bereikOpgelost in
n/a – 2.1.12.1.2
2.1.12.1.2

Pakketinformatie

Actieve installaties
10KNiche
Plugin-beoordeling
4.6
Vereist WordPress
5.0+
Compatibel tot
6.9.4
Website

Zwakheidsclassificatie (CWE)

CWE-352

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt
-21 dagen na openbaarmaking gepatcht

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van de 'Under Construction, Coming Soon & Maintenance Mode' plugin naar versie 2.1.2 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie (indien beschikbaar) en implementeer tijdelijke maatregelen. Het inschakelen van een Web Application Firewall (WAF) met CSRF-bescherming kan helpen om aanvallen te blokkeren. Zorg ervoor dat alle beheerderaccounts sterke wachtwoorden gebruiken en tweefactorauthenticatie is ingeschakeld. Na de upgrade, controleer de plugin-instellingen om er zeker van te zijn dat er geen ongewenste wijzigingen zijn aangebracht.

Hoe te verhelpen

Update naar versie 2.1.2, of een nieuwere gepatchte versie

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-34896 in Under Construction, Coming Soon & Maintenance Mode?

CSRF (Cross-Site Request Forgery) is a type of attack that forces an authenticated user to perform unwanted actions on a web application. The attacker leverages the user’s active session to execute commands.

Am I affected by CVE-2026-34896 in Under Construction, Coming Soon & Maintenance Mode?

If you are using a version of the 'Under Construction, Coming Soon & Maintenance Mode' plugin older than 2.1.2, your site is vulnerable. Verify the plugin version in your WordPress admin dashboard.

How do I fix CVE-2026-34896 in Under Construction, Coming Soon & Maintenance Mode?

Immediately change the passwords of all users with administrator privileges. Perform a thorough scan of the site for modified files or suspicious activity. Restore the site from a clean backup if possible.

Is CVE-2026-34896 being actively exploited?

There are web security scanning tools that can detect CSRF vulnerabilities, although effectiveness may vary. Consider using a WordPress security plugin that includes vulnerability scanning capabilities.

Where can I find the official Under Construction, Coming Soon & Maintenance Mode advisory for CVE-2026-34896?

No, a KEV is not currently available for this vulnerability.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken