Platform
wordpress
Component
wp-db-booster
Opgelost in
1.0.2
CVE-2025-14168 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP DB Booster plugin voor WordPress. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om database records te verwijderen, waaronder post drafts, revisies, comments en metadata. De kwetsbaarheid treedt op in versies 1.0.0 tot en met 1.0.1. Een patch is beschikbaar in de nieuwste versie van de plugin.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot ongeautoriseerde verwijdering van cruciale data uit de WordPress database. Dit omvat post drafts, revisies, comments en metadata, wat de functionaliteit van de website aanzienlijk kan belemmeren en dataverlies kan veroorzaken. De aanvaller heeft geen authenticatie nodig, maar moet wel de gebruiker (bijvoorbeeld een site administrator) overtuigen om een actie uit te voeren, zoals het klikken op een kwaadaardige link. Dit is vergelijkbaar met andere CSRF-aanvallen waarbij de aanvaller de acties van een geauthenticeerde gebruiker misbruikt.
Deze kwetsbaarheid is openbaar bekend sinds 2025-12-20. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de lage complexiteit van CSRF-aanvallen maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De KEV-status is momenteel onbekend. De publicatie datum suggereert dat de kwetsbaarheid recent is ontdekt en gepubliceerd.
WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-db-booster'• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP DB Booster plugin naar de nieuwste versie, waar de CSRF-bescherming is geïmplementeerd. Indien een upgrade momenteel niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om CSRF-tokens te valideren voor de cleanup_all AJAX-actie. Controleer ook de WordPress-configuratie op extra beveiligingsmaatregelen, zoals het gebruik van een Content Security Policy (CSP) om de bronnen te beperken die de browser mag laden. Na de upgrade, controleer de WordPress logs op verdachte activiteiten.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14168 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP DB Booster plugin voor WordPress, waardoor ongeauthenticeerde aanvallers database records kunnen verwijderen.
U bent getroffen als u de WP DB Booster plugin gebruikt in versie 1.0.0 tot en met 1.0.1.
Upgrade de WP DB Booster plugin naar de nieuwste versie om de kwetsbaarheid te verhelpen. Configureer indien mogelijk een WAF om CSRF-verzoeken te blokkeren.
Er zijn momenteel geen publieke exploits bekend, maar de lage complexiteit van CSRF-aanvallen maakt misbruik waarschijnlijk.
Raadpleeg de officiële WP DB Booster website of de WordPress plugin directory voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.