Platform
wordpress
Component
yml-for-yandex-market
Opgelost in
5.0.26
5.0.26
CVE-2025-14545 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de YML for Yandex Market WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om code uit te voeren op de server. De kwetsbaarheid treft versies van de plugin tot en met 5.0.26 (exclusief). Een update naar versie 5.0.26 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller met Shop Manager-toegang of hoger in staat om willekeurige code uit te voeren op de webserver waarop de WordPress plugin is geïnstalleerd. Dit kan leiden tot volledige controle over de server, inclusief het stelen van gevoelige gegevens, het installeren van malware, of het wijzigen van de website content. De impact is aanzienlijk, aangezien een aanvaller de mogelijkheid heeft om de gehele WordPress omgeving te compromitteren. Er zijn geen bekende publieke exploits, maar de mogelijkheid tot RCE maakt dit een kritieke kwetsbaarheid.
Deze kwetsbaarheid is openbaar bekend en beschreven in de NVD database. Er is geen indicatie van actieve exploitatie in de wild, maar de RCE aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus, wat de ernst ervan onderstreept. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig voor aanvallers om een exploit te ontwikkelen.
Websites using the YML for Yandex Market plugin, particularly those with multiple users and poorly configured user roles, are at risk. Shared hosting environments where plugin updates are not managed centrally are also at increased risk, as are sites with legacy WordPress installations that may be difficult to update quickly.
• wordpress / composer / npm:
grep -r 'shop_manager' /var/www/html/wp-content/plugins/yml-for-yandex-market/• wordpress / composer / npm:
wp plugin list --status=active | grep 'yml-for-yandex-market'• wordpress / composer / npm:
wp plugin update yml-for-yandex-market --version=5.0.26disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CVSS-vector
De primaire mitigatie is het updaten van de YML for Yandex Market plugin naar versie 5.0.26 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de rechten van Shop Managers om de potentiële impact te verminderen. Controleer de WordPress plugin directory op eventuele tijdelijke workarounds of beveiligingsadviezen. Implementeer een Web Application Firewall (WAF) met regels om verdachte requests te blokkeren die mogelijk proberen de kwetsbaarheid te exploiteren. Na de upgrade, controleer de WordPress logs op ongebruikelijke activiteiten om te bevestigen dat de kwetsbaarheid is verholpen.
Update naar versie 5.0.26, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14545 is a Remote Code Execution vulnerability in the YML for Yandex Market WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using YML for Yandex Market version 5.0.26 or earlier. Upgrade to 5.0.26 to resolve the issue.
Upgrade the YML for Yandex Market plugin to version 5.0.26 or later through the WordPress plugin manager or via WP-CLI.
As of now, there are no confirmed reports of active exploitation, but the RCE nature warrants immediate patching.
Check the YML for Yandex Market plugin page on WordPress.org for updates and security advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.