Platform
wordpress
Component
mtcaptcha
Opgelost in
2.7.3
De MTCaptcha WordPress plugin is kwetsbaar voor Cross-Site Request Forgery (CSRF) in versies van 0.0.0 tot en met 2.7.2. Deze kwetsbaarheid ontstaat door het ontbreken of incorrecte nonce validatie bij het bijwerken van de plugin instellingen. Een succesvolle exploit kan leiden tot ongeautoriseerde wijzigingen aan de plugin configuratie, wat potentieel gevoelige informatie kan blootleggen.
Een kwaadwillende aanvaller kan deze CSRF kwetsbaarheid uitbuiten om de instellingen van de MTCaptcha plugin te wijzigen. Dit omvat het wijzigen van de private key, wat de integriteit van de captcha-functionaliteit kan compromitteren en mogelijk misbruik van de captcha-diensten mogelijk maakt. Daarnaast kan de aanvaller andere instellingen wijzigen, afhankelijk van de specifieke configuratie van de plugin. Het risico is aanzienlijk, vooral in omgevingen waar beheerders regelmatig op de WordPress site werken en potentieel slachtoffer kunnen worden van een phishing-aanval of een kwaadaardige link.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-01-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kans op actieve exploitatie is momenteel als medium ingeschat, gezien de populariteit van WordPress plugins en de relatieve eenvoud van CSRF aanvallen.
Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.
• wordpress / composer / npm:
grep -r 'MTCaptcha/includes/settings.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep MTCaptcha• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for version 2.7.3 or higher.
disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de MTCaptcha WordPress plugin naar versie 2.7.3 of hoger, waar deze kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van strikte CSRF-bescherming op de plugin instellingen pagina via een WordPress beveiligingsplugin of een Web Application Firewall (WAF). Controleer de WordPress logs op verdachte verzoeken die de plugin instellingen pagina proberen te wijzigen. Na de upgrade, controleer de plugin instellingen om te bevestigen dat er geen ongeautoriseerde wijzigingen hebben plaatsgevonden.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid in detail en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13520 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de MTCaptcha WordPress plugin, waardoor aanvallers plugin instellingen kunnen wijzigen.
Ja, als u de MTCaptcha plugin gebruikt in versie 0.0.0 tot en met 2.7.2, bent u kwetsbaar.
Upgrade de plugin naar versie 2.7.3 of hoger. Implementeer tijdelijke maatregelen zoals een WAF of WordPress beveiligingsplugin als een upgrade niet direct mogelijk is.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de CSRF aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig.
Raadpleeg de MTCaptcha plugin website of de WordPress plugin directory voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.