Platform
wordpress
Component
mamurjor-employee-info
Opgelost in
1.0.1
CVE-2025-13990 beschrijft een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Mamurjor Employee Info WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren, zoals het aanmaken, bijwerken of verwijderen van medewerkerrecords, via een vervalst verzoek. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.0 van de plugin. Een beveiligde versie is momenteel beschikbaar.
Een succesvolle exploitatie van deze XSRF-kwetsbaarheid stelt een aanvaller in staat om, met behulp van een kwaadaardige link, ongeautoriseerde wijzigingen aan te brengen in de Mamurjor Employee Info plugin. Dit omvat het aanmaken, bijwerken en verwijderen van cruciale gegevens zoals medewerkerrecords, afdelingen, functies, salarisgraden, opleidingsgegevens en salarisbetalingen. Aangezien de kwetsbaarheid betrekking heeft op administratieve functies, is het voldoende dat een aanvaller een sitebeheerder kan overtuigen om op een kwaadaardige link te klikken om de controle over deze gegevens te verkrijgen. Dit kan leiden tot data-integriteitsproblemen, ongeautoriseerde toegang tot gevoelige informatie en mogelijk zelfs verstoring van de bedrijfsvoering.
Er zijn momenteel geen publieke exploits bekend voor CVE-2025-13990. De kwetsbaarheid is openbaar gemaakt op 7 januari 2026. Het is belangrijk om te benadrukken dat XSRF-kwetsbaarheden vaak worden misbruikt in combinatie met social engineering-technieken, waarbij gebruikers worden misleid om kwaadaardige acties uit te voeren. De impact kan aanzienlijk zijn, vooral in omgevingen waar de plugin wordt gebruikt voor het beheren van gevoelige personeelsgegevens.
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13990 is het upgraden van de Mamurjor Employee Info plugin naar de meest recente, beveiligde versie zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan het implementeren van strikte nonce-validatie op alle administratieve functies in de plugin helpen om de kwetsbaarheid te verkleinen. Het gebruik van een Web Application Firewall (WAF) met XSRF-bescherming kan ook een extra beveiligingslaag bieden. Controleer de WordPress plugin directory op updates en volg de officiële aanbevelingen van de plugin-ontwikkelaar.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13990 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Mamurjor Employee Info WordPress plugin, waardoor ongeautoriseerde wijzigingen aan medewerkergegevens mogelijk zijn.
Ja, als u versie 1.0.0–1.0.0 van de Mamurjor Employee Info plugin gebruikt, bent u getroffen door deze kwetsbaarheid.
Upgrade de Mamurjor Employee Info plugin naar de meest recente, beveiligde versie zodra deze beschikbaar is. Implementeer tijdelijk mitigaties zoals nonce-validatie en een WAF.
Er zijn momenteel geen publieke exploits bekend, maar XSRF-kwetsbaarheden worden vaak misbruikt in combinatie met social engineering.
Controleer de WordPress plugin directory en de website van de plugin-ontwikkelaar voor officiële advisories en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.