Platform
wordpress
Component
surveyjs
Opgelost in
2.5.4
De SurveyJS: Drag & Drop WordPress Form Builder plugin, gebruikt voor het maken, stylen en inbedden van formulieren, vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om surveys te hernoemen via een vervalst verzoek, mits de aanvaller een sitebeheerder kan overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid treft versies 1.0.0 tot en met 2.5.2. Een fix is beschikbaar in versie 2.5.3.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen aan formulieren, met name het hernoemen van surveys. Dit kan verwarring veroorzaken bij beheerders en mogelijk leiden tot onbedoelde gevolgen voor de functionaliteit van de website. Hoewel het hernoemen van een survey op zichzelf geen kritieke impact heeft, kan het een eerste stap zijn in een complexere aanval. Een aanvaller kan bijvoorbeeld surveys hernoemen om verwarring te zaaien of om andere kwetsbaarheden te exploiteren die afhankelijk zijn van de survey-naam. De impact is groter als de surveys gevoelige informatie bevatten of worden gebruikt voor kritieke processen.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-01-24. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CVSS score van 4.3 (Medium) duidt op een gematigd risico. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid op het moment van schrijven.
WordPress sites utilizing the SurveyJS: Drag & Drop Form Builder plugin, particularly those with administrative users who are susceptible to phishing attacks or social engineering. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'SurveyJS_RenameSurvey' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=SurveyJS_RenameSurvey&surveyId=123 | grep -i '200 ok'disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de SurveyJS: Drag & Drop WordPress Form Builder plugin naar versie 2.5.3 of hoger. Indien een upgrade direct niet mogelijk is, kan het tijdelijk beperken van de toegang tot de survey beheerpagina's helpen om het risico te verminderen. Implementeer een Web Application Firewall (WAF) met CSRF-bescherming om vervalste verzoeken te blokkeren. Controleer de WordPress logs op verdachte activiteit, zoals ongebruikelijke survey hernoemingen. Na de upgrade, controleer de survey lijst om te bevestigen dat er geen ongeautoriseerde wijzigingen hebben plaatsgevonden.
Update naar versie 2.5.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13194 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de SurveyJS Drag & Drop Form Builder plugin voor WordPress, waardoor een aanvaller surveys kan hernoemen via een vervalst verzoek.
Ja, als u de SurveyJS Drag & Drop Form Builder plugin gebruikt in versie 1.0.0 tot en met 2.5.2, bent u getroffen door deze kwetsbaarheid.
Upgrade de SurveyJS Drag & Drop Form Builder plugin naar versie 2.5.3 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen openbare indicaties van actieve exploitatie van CVE-2025-13194, maar de CSRF-aard maakt het relatief eenvoudig te exploiteren.
Raadpleeg de SurveyJS website of de WordPress plugin directory voor het officiële advisory en de bijbehorende release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.