Platform
wordpress
Component
clearfy
Opgelost in
2.5.4
De Clearfy Cache WordPress plugin, die HTML, CSS & JS minimaliseert en defer-functionaliteit biedt, vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid, aanwezig in versies van 0.0.0 tot en met 2.4.0, stelt ongeauthenticeerde aanvallers in staat om plugin/thema update-notificaties uit te schakelen. Een update naar versie 2.4.1 lost dit probleem op.
Een succesvolle CSRF-aanval kan leiden tot ongewenste wijzigingen in de plugin-configuratie, specifiek het uitschakelen van update-notificaties. Dit kan de beveiliging van de WordPress-site in gevaar brengen, omdat beheerders mogelijk niet op tijd op kritieke beveiligingsupdates worden gewezen. Een aanvaller kan een kwaadaardige link sturen die, wanneer geopend door een beheerder, de configuratie van de plugin wijzigt zonder hun medeweten. Dit kan leiden tot een verhoogd risico op andere aanvallen, aangezien verouderde plugins vaak kwetsbaarheden bevatten die door aanvallers kunnen worden misbruikt.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar het is raadzaam om proactieve maatregelen te nemen. De kwetsbaarheid is opgenomen in het NVD-register en de CISA KEV catalogus is nog niet bekend.
WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep clearfy-cache• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Versiondisclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Clearfy Cache WordPress plugin naar versie 2.4.1 of hoger. Als een directe upgrade problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie (indien mogelijk) en neem contact op met de plugin-ontwikkelaar voor ondersteuning. Implementeer Web Application Firewall (WAF) regels om CSRF-aanvallen te detecteren en te blokkeren. Controleer de WordPress-site op verdachte activiteit en ongebruikelijke configuratiewijzigingen.
Update naar versie 2.4.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13749 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Clearfy Cache WordPress plugin, waardoor ongeauthenticeerde aanvallers update-notificaties kunnen uitschakelen.
Ja, als u de Clearfy Cache plugin gebruikt in versie 0.0.0 tot en met 2.4.0, bent u kwetsbaar voor deze CSRF-aanval.
Upgrade de Clearfy Cache plugin naar versie 2.4.1 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar het is raadzaam om proactieve maatregelen te nemen.
Raadpleeg de website van de plugin-ontwikkelaar of de WordPress plugin repository voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.