Platform
wordpress
Component
accelerated-mobile-pages
Opgelost in
1.2.0
CVE-2025-14468 beschrijft een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de AMP for WP – Accelerated Mobile Pages plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om acties uit te voeren namens ingelogde gebruikers, zoals het plaatsen van comments, via een vervalst verzoek. De kwetsbaarheid treedt op in versies van de plugin tot en met 1.1.9. Een fix is beschikbaar in versie 1.1.10.
Een succesvolle exploitatie van deze XSRF kwetsbaarheid kan leiden tot ongeautoriseerde acties op een WordPress website. Een aanvaller kan bijvoorbeeld comments plaatsen namens een beheerder, waardoor schadelijke content op de site kan verschijnen. Dit kan de reputatie van de website schaden en de gebruikers vertrouwen ondermijnen. De impact is groter als de plugin's template mode is ingeschakeld, omdat dit de mogelijkheid biedt om comments te plaatsen zonder dat de gebruiker zich bewust is van de actie. Het misbruik van deze kwetsbaarheid kan ook leiden tot spam en andere ongewenste content op de website, wat de gebruikerservaring negatief beïnvloedt.
Op dit moment zijn er geen publieke exploits bekend voor CVE-2025-14468. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). De publicatie datum van de CVE is 2026-01-07, wat suggereert dat de kwetsbaarheid recent is ontdekt. Er is geen indicatie van actieve campagnes die deze kwetsbaarheid misbruiken, maar het is belangrijk om de plugin te patchen om toekomstige aanvallen te voorkomen.
Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.
• wordpress / composer / npm:
grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'amp-wp'• wordpress / composer / npm:
wp plugin update amp-wp --version=1.1.10• wordpress / composer / npm:
wp plugin status amp-wp• wordpress / composer / npm:
wp plugin list --all | grep 'AMP for WP'disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-14468 is het updaten van de AMP for WP – Accelerated Mobile Pages plugin naar versie 1.1.10 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin's template mode om het risico op XSRF aanvallen te verminderen. Het implementeren van een Web Application Firewall (WAF) met XSRF bescherming kan ook helpen om aanvallen te blokkeren. Controleer de WordPress logbestanden op verdachte activiteit, zoals ongebruikelijke comment submissions. Na de upgrade, controleer de comment secties van de website om te bevestigen dat er geen ongeautoriseerde comments zijn geplaatst.
Update naar versie 1.1.10, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14468 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de AMP for WP plugin voor WordPress, waardoor ongeauthenticeerde aanvallers acties namens ingelogde gebruikers kunnen uitvoeren.
Ja, als u de AMP for WP plugin gebruikt in versie 1.0.0 tot en met 1.1.9, bent u kwetsbaar voor deze XSRF kwetsbaarheid.
Update de AMP for WP plugin naar versie 1.1.10 of hoger. Indien een upgrade niet direct mogelijk is, schakel dan tijdelijk de template mode uit.
Op dit moment zijn er geen publieke exploits of actieve campagnes bekend, maar het is belangrijk om de plugin te patchen om toekomstige aanvallen te voorkomen.
Raadpleeg de WordPress plugin directory of de website van de plugin ontwikkelaar voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.