Platform
wordpress
Component
sticky-action-buttons
Opgelost in
1.1.1
De Sticky Action Buttons plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om plugin instellingen te wijzigen door middel van een vervalste request, mits de aanvaller een beheerder kan overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid treft versies van 0.0.0 tot en met 1.1. Een patch is beschikbaar in de meest recente versie van de plugin.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de plugin instellingen. Dit kan gevolgen hebben voor de functionaliteit van de website en de integratie met andere plugins. Een aanvaller kan bijvoorbeeld instellingen aanpassen die de weergave van actiebuttons beïnvloeden, of zelfs toegang tot gevoelige data verkrijgen als de plugin deze opslaat. De impact is groter wanneer de plugin wordt gebruikt in combinatie met andere plugins die gevoelige data verwerken, omdat de aanvaller dan mogelijk toegang kan krijgen tot deze data via de plugin instellingen. Het is belangrijk om te benadrukken dat de aanvaller een beheerder moet kunnen overtuigen om de vervalste request uit te voeren, wat de exploitatie complexer maakt, maar niet onmogelijk.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De publicatie datum is 2026-01-07, wat betekent dat de kwetsbaarheid recentelijk is ontdekt en gepubliceerd.
WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep sticky-action-buttons• wordpress / composer / npm:
wp plugin list | grep sticky-action-buttonsdisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Sticky Action Buttons plugin naar de meest recente versie, waar deze kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Content Security Policy (CSP) die het laden van scripts van onbetrouwbare bronnen blokkeert. Daarnaast kan het gebruik van een Web Application Firewall (WAF) helpen om CSRF-aanvallen te detecteren en te blokkeren. Controleer de WordPress plugin directory voor de meest recente versie en updates. Na de upgrade, verifieer de functionaliteit van de plugin en de website om er zeker van te zijn dat er geen onverwachte problemen zijn ontstaan.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14465 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Sticky Action Buttons WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
Ja, als u versie 0.0.0 tot en met 1.1 van de Sticky Action Buttons plugin gebruikt, bent u getroffen door deze kwetsbaarheid.
Upgrade de Sticky Action Buttons plugin naar de meest recente versie. Indien een upgrade niet mogelijk is, implementeer dan mitigaties zoals een CSP of WAF.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend, maar het is belangrijk om de plugin te updaten om toekomstige aanvallen te voorkomen.
Raadpleeg de WordPress plugin directory en de website van de plugin ontwikkelaar voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.