Platform
wordpress
Component
wp-change-status-notifier
Opgelost in
1.0.1
De WP Status Notifier plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid, met een CVSS score van 4.3 (MEDIUM), stelt een aanvaller in staat om de plugin instellingen te wijzigen via een vervalst verzoek. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0. Een upgrade naar een beveiligde versie is de aanbevolen oplossing.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de WP Status Notifier plugin. Dit kan gevolgen hebben voor de functionaliteit van de WordPress website en mogelijk leiden tot verdere beveiligingsproblemen. Een aanvaller kan bijvoorbeeld instellingen wijzigen die de manier waarop notificaties worden verwerkt beïnvloeden, of zelfs toegang krijgen tot gevoelige informatie. De impact is groter als de plugin wordt gebruikt om kritieke informatie te beheren of te verwerken.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-01-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-aanval is een bekende techniek en kan relatief eenvoudig worden uitgevoerd. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie.
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP Status Notifier plugin naar een beveiligde versie zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om CSRF-aanvallen te blokkeren. Controleer de WordPress website op verdachte aanpassingen in de plugin instellingen. Implementeer strikte toegangscontroles en authenticatieprocedures om te voorkomen dat onbevoegden toegang krijgen tot de WordPress beheerinterface.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13521 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP Status Notifier WordPress plugin, waardoor een aanvaller de plugin instellingen kan wijzigen via een vervalst verzoek.
Ja, als u de WP Status Notifier plugin gebruikt in versie 1.0.0 tot en met 1.0, bent u getroffen door deze kwetsbaarheid.
Upgrade de WP Status Notifier plugin naar de meest recente beveiligde versie zodra deze beschikbaar is. Tot die tijd, implementeer mitigaties zoals een WAF.
Hoewel er momenteel geen publieke exploits beschikbaar zijn, is CSRF een bekende techniek en kan deze kwetsbaarheid actief worden misbruikt.
Raadpleeg de WordPress plugin directory of de website van de plugin ontwikkelaar voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.