Platform
wordpress
Component
xshare
Opgelost in
1.0.2
De xShare WordPress plugin is kwetsbaar voor Cross-Site Request Forgery (CSRF) in versies 1.0.0 tot en met 1.0.1. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce validatie in de 'xsharepluginreset()' functie. Dit stelt ongeauthenticeerde aanvallers in staat om de plugininstellingen te resetten via een vervalste request, mits ze een beheerder kunnen misleiden om een actie uit te voeren. Een patch is beschikbaar.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de xShare plugin. Dit kan de functionaliteit van de website beïnvloeden en mogelijk leiden tot verdere kwetsbaarheden, afhankelijk van de specifieke instellingen die worden gewijzigd. Een aanvaller kan bijvoorbeeld de delen-functionaliteit uitschakelen of de integratie met andere diensten verstoren. De impact is groter als de website kritieke data of functionaliteit bevat die afhankelijk is van de xShare plugin.
Deze kwetsbaarheid is openbaar bekend en vereist geen complexe exploitatie. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid op het moment van publicatie. De kwetsbaarheid is opgenomen in de NVD database. De EPSS score is nog niet bekend.
WordPress websites utilizing the xShare plugin, particularly those with shared hosting environments or legacy configurations where user access controls may be less stringent, are at increased risk. Site administrators who routinely click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'xshare_plugin_reset()' /var/www/html/wp-content/plugins/xshare/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=xshare_plugin_reset&nonce=dummy | grep -i '200 ok'disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de xShare plugin naar de meest recente versie, die de nonce validatie implementeert. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om CSRF-aanvallen te blokkeren. Controleer de WordPress plugin directory voor de meest recente versie. Na de upgrade, verifieer de correcte werking van de plugin door te controleren of de instellingen niet onverwacht zijn gewijzigd.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13527 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de xShare WordPress plugin, waardoor ongeautoriseerde instellingen gewijzigd kunnen worden.
Ja, als u de xShare plugin gebruikt in versie 1.0.0 tot en met 1.0.1, bent u kwetsbaar.
Update de xShare plugin naar de meest recente versie die de nonce validatie implementeert.
Op dit moment zijn er geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Controleer de WordPress plugin directory en de website van de plugin voor het officiële advies.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.