Gratis scannen
Analyse in behandelingCVE-2025-9988

CVE-2025-9988: Unauthorized Access in Broadstreet WordPress Plugin

Platform

wordpress

Component

broadstreet

Opgelost in

1.53.2

Bekijk op NVD
Opslaan

CVE-2025-9988 is een kwetsbaarheid voor ontoerekenbare toegang in de Broadstreet plugin voor WordPress. Door een ontbrekende capability check op de create_advertiser AJAX actie kunnen geauthenticeerde aanvallers, met minimaal Subscriber-niveau toegang, advertentiebieders aanmaken. Deze kwetsbaarheid treft WordPress websites die versie 0 tot en met 1.53.1 van de Broadstreet plugin gebruiken. De kwetsbaarheid is verholpen in versie 1.53.2.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om advertentiebieders aan te maken op een WordPress website, zelfs met een relatief lage gebruikersrol zoals Subscriber. Dit kan leiden tot ongeautoriseerde toegang tot advertentiebeheerfuncties, mogelijk het plaatsen van kwaadaardige advertenties of het manipuleren van advertentiecampagnes. De impact is beperkt tot de functionaliteit van de Broadstreet plugin en heeft geen directe invloed op de kernfunctionaliteit van WordPress zelf, maar kan wel leiden tot reputatieschade en financiële verliezen als advertentiecampagnes worden misbruikt.

Uitbuitingscontext

Er is momenteel geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is beoordeeld als medium risico. De publicatiedatum van de CVE is 2026-05-13, wat suggereert dat de kwetsbaarheid recent is ontdekt. Het is aan te raden om de plugin zo snel mogelijk te updaten om potentiële risico's te minimaliseren.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CISA SSVC

Exploitationnone
Automatableno
Technical Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentbroadstreet
Leverancierwordfence
Minimumversie0
Maximumversie1.53.1
Opgelost in1.53.2

Zwakheidsclassificatie (CWE)

CWE-285

Tijdlijn

  1. Reserved
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2025-9988 is het updaten van de Broadstreet plugin naar versie 1.53.2 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de createadvertiser AJAX actie via een WordPress filter (indien mogelijk) om het risico te verminderen. Controleer de WordPress logs op verdachte activiteit gerelateerd aan de createadvertiser actie. Na de upgrade, controleer de plugin instellingen om er zeker van te zijn dat de advertentiebeheerfuncties correct werken en dat er geen ongeautoriseerde advertentiebieders zijn aangemaakt.

Hoe te verhelpen

Update naar versie 1.53.2, of een nieuwere gepatchte versie

Veelgestelde vragen

Wat is CVE-2025-9988 — Unauthorized Access in Broadstreet WordPress Plugin?

CVE-2025-9988 is een kwetsbaarheid in de Broadstreet WordPress plugin die ongeautoriseerde toegang mogelijk maakt door een ontbrekende capability check. Geauthenticeerde gebruikers met Subscriber-niveau toegang of hoger kunnen advertentiebieders aanmaken.

Am I affected by CVE-2025-9988 in Broadstreet WordPress Plugin?

U bent mogelijk getroffen als u versie 0 tot en met 1.53.1 van de Broadstreet plugin gebruikt. Controleer de plugin versie in de WordPress admin interface.

How do I fix CVE-2025-9988 in Broadstreet WordPress Plugin?

Update de Broadstreet plugin naar versie 1.53.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijk de create_advertiser AJAX actie uit te schakelen.

Is CVE-2025-9988 being actively exploited?

Er is momenteel geen publieke exploitatie van deze kwetsbaarheid bekend, maar het is aan te raden om de plugin zo snel mogelijk te updaten.

Where can I find the official Broadstreet advisory for CVE-2025-9988?

Raadpleeg de officiële Broadstreet plugin website of de WordPress plugin directory voor de meest recente informatie en updates over CVE-2025-9988.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen
livefree scan

Scan nu uw WordPress project — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...