Platform
wordpress
Component
helpdesk-contact-form
Opgelost in
1.1.6
De HelpDesk Contact Form plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om plugin instellingen, zoals de licentie-ID en contactformulier-ID, te wijzigen via een vervalste aanvraag, mits de aanvaller een beheerder kan overtuigen om een actie uit te voeren. De kwetsbaarheid treft versies van 0.0.0 tot en met 1.1.5. Een update naar versie 1.1.6 lost dit probleem op.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de HelpDesk Contact Form plugin. Dit kan gevolgen hebben voor de functionaliteit van het contactformulier en de integratie met andere systemen. Een aanvaller kan bijvoorbeeld de licentie-ID wijzigen, waardoor de plugin niet meer correct functioneert of toegang tot betaalde functies wordt verkregen. Het wijzigen van de contactformulier-ID kan leiden tot het omleiden van inzendingen naar een onbedoeld doel of het manipuleren van de data die wordt verzameld. De impact is vooral groot als de plugin wordt gebruikt voor gevoelige informatie of als de site administrator niet goed op de hoogte is van de risico's van CSRF-aanvallen.
Er zijn momenteel geen publieke exploit codes bekend voor deze specifieke kwetsbaarheid. De kwetsbaarheid is gemeld op 2026-01-07. De CVSS score van 4.3 (MEDIUM) duidt op een matige kans op uitbuiting. Het is aan te raden om de plugin zo snel mogelijk te updaten om het risico te minimaliseren.
WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'helpdesk-contact-form'• wordpress / composer / npm:
wp plugin update helpdesk-contact-form --alldisclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de HelpDesk Contact Form plugin naar versie 1.1.6 of hoger. Indien een directe update niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die CSRF-tokens valideert. Controleer ook de WordPress plugin configuratie om te zorgen voor een sterke beveiliging. Het is belangrijk om te controleren of de plugin correct is geïnstalleerd en geconfigureerd, en om de WordPress-installatie up-to-date te houden. Na de update, controleer de plugin instellingen om te verifiëren dat deze correct zijn geconfigureerd en dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Update naar versie 1.1.6, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13657 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de HelpDesk Contact Form plugin voor WordPress, waardoor een aanvaller instellingen kan wijzigen via een vervalste aanvraag.
Ja, als u versie 0.0.0 tot en met 1.1.5 van de HelpDesk Contact Form plugin gebruikt, bent u kwetsbaar.
Update de HelpDesk Contact Form plugin naar versie 1.1.6 of hoger. Een WAF kan ook helpen als een tijdelijke workaround.
Er zijn momenteel geen publieke exploit codes bekend, maar de kwetsbaarheid is gemeld en de CVSS score duidt op een matige kans op uitbuiting.
Raadpleeg de WordPress security advisories en de plugin ontwikkelaars website voor de meest recente informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.