Age Verification & Identity Verification by Token of Trust <= 3.32.3 - Ongeauthenticeerde Stored Cross-Site Scripting via 'description' Parameter
Platform
wordpress
Component
token-of-trust
Opgelost in
3.32.4
3.32.4
De Age Verification & Identity Verification by Token of Trust plugin voor WordPress is kwetsbaar voor Stored Cross-Site Scripting (XSS). Deze kwetsbaarheid wordt veroorzaakt door onvoldoende input sanitatie en output escaping in de ‘description’ parameter. Ongeauthenticeerde aanvallers kunnen zo willekeurige webscripts injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt. De kwetsbaarheid is aanwezig in versies tot en met 3.32.3. Een patch is beschikbaar in versie 3.32.4.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een persistente Cross-Site Scripting (XSS) kwetsbaarheid is ontdekt in de plugin 'Age Verification & Identity Verification by Token of Trust' voor WordPress. Deze kwetsbaarheid, geïdentificeerd als CVE-2026-2834, stelt ongeauthentiseerde aanvallers in staat om kwaadaardige webscripts in te voegen via de parameter 'description'. Zodra het script is ingevoegd, wordt het uitgevoerd telkens een gebruiker de betreffende pagina bezoekt. Dit vormt een aanzienlijk risico, aangezien een aanvaller sessiecookies kan stelen, gebruikers naar kwaadaardige websites kan omleiden of zelfs de controle over het WordPress-account kan overnemen. De CVSS-severity score is 7.2, wat een hoog risico aangeeft. Het is cruciaal om de plugin te updaten om dit risico te beperken.
Uitbuitingscontext
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige JavaScript-code in het veld 'description' van de plugin in te voegen. Deze code kan worden ingevoegd via een WordPress-beheerdersformulier of een andere interface die de invoer van gegevens in dit veld mogelijk maakt. Zodra de code is ingevoegd, wordt deze opgeslagen in de database en uitgevoerd telkens een gebruiker de pagina bezoekt waarop de beschrijving wordt weergegeven. Het succes van de exploitatie hangt af van de configuratie van de website en de geïmplementeerde beveiligingsmaatregelen. Het ontbreken van invoer sanitatie is de hoofdoorzaak van deze kwetsbaarheid.
Dreigingsinformatie
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 40Populair
- Plugin-beoordeling
- 4.3
- Vereist WordPress
- 5.3.0+
- Compatibel tot
- 7.0.0
- Vereist PHP
- 7.2.5+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De aanbevolen oplossing is om de plugin 'Age Verification & Identity Verification by Token of Trust' te updaten naar versie 3.32.4 of hoger. Deze update bevat de nodige correcties om gebruikersinvoer correct te sanitiseren en uitvoer te escapen, waardoor het injecteren van kwaadaardige scripts wordt voorkomen. Het wordt ten zeerste aangeraden om deze update zo snel mogelijk toe te passen, vooral als uw website gevoelige informatie verwerkt of veel verkeer heeft. Het is ook aan te raden om uw WordPress-plugins en -thema's regelmatig te controleren op beveiligingskwetsbaarheden. Het implementeren van een robuust wachtwoordbeleid en het inschakelen van tweefactorauthenticatie kan de beveiliging van uw website verder verbeteren.
Hoe te verhelpen
Update naar versie 3.32.4, of een nieuwere gepatchte versie
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-2834 — Cross-Site Scripting (XSS) in Age Verification & Identity Verification by Token of Trust?
Het is een type kwetsbaarheid dat een aanvaller in staat stelt kwaadaardige code in een website in te voegen, die vervolgens wordt uitgevoerd in de browsers van andere gebruikers wanneer ze de betreffende pagina bezoeken.
Ben ik getroffen door CVE-2026-2834 in Age Verification & Identity Verification by Token of Trust?
Als u een versie van de plugin gebruikt die ouder is dan 3.32.4, is de kans groot dat u getroffen bent. Werk onmiddellijk bij.
Hoe los ik CVE-2026-2834 in Age Verification & Identity Verification by Token of Trust op?
Wijzig alle wachtwoorden, controleer de websitebestanden op kwaadaardige code en overweeg een beveiligingsprofessional te raadplegen.
Wordt CVE-2026-2834 actief misbruikt?
Ja, gebruik sterke wachtwoorden, schakel tweefactorauthenticatie in en houd uw software up-to-date.
Waar vind ik het officiële Age Verification & Identity Verification by Token of Trust-beveiligingsadvies voor CVE-2026-2834?
U kunt meer informatie vinden in de CVE (Common Vulnerabilities and Exposures)-database onder de ID CVE-2026-2834.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.