Platform
wordpress
Component
tablemaster-for-elementor
Opgelost in
1.3.7
De TableMaster for Elementor plugin voor WordPress is kwetsbaar voor Server-Side Request Forgery (SSRF). Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om webverzoeken naar willekeurige locaties te sturen, inclusief localhost en interne netwerkdiensten. De kwetsbaarheid treedt op in versies van de plugin tot en met 1.3.6. Een update naar versie 1.3.7 lost dit probleem op.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om gevoelige informatie te onthullen, zoals de wp-config.php file, die database credentials en andere cruciale configuratiegegevens bevat. Daarnaast kan de aanvaller interne netwerkbronnen benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot verdere inbraak en compromittering van de WordPress-omgeving. De impact is verhoogd door de mogelijkheid om localhost-verzoeken te maken, waardoor toegang tot lokale services mogelijk wordt. Dit is vergelijkbaar met scenario's waarbij interne API's of beheerdiensten worden blootgesteld.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes, maar de relatief eenvoudige aard van SSRF-exploits maakt het waarschijnlijk dat deze in de toekomst kan worden misbruikt. De CVSS score van 7.2 (HIGH) duidt op een significant risico. De publicatiedatum is 2026-01-28, wat aangeeft dat de kwetsbaarheid recent is ontdekt en gepubliceerd.
WordPress websites utilizing the TableMaster for Elementor plugin, particularly those with shared hosting environments or legacy configurations, are at risk. Sites where the 'csv_url' parameter is exposed to users with Author or higher roles are especially vulnerable.
• wordpress / composer / npm:
grep -r 'csv_url' /var/www/html/wp-content/plugins/tablemaster-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=tablemaster_import_csv&csv_url=http://internal-server/sensitive-file.txt• wordpress / composer / npm:
wp plugin list --status=active | grep tablemaster-for-elementordisclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de TableMaster for Elementor plugin naar versie 1.3.7 of hoger. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de Data Table widget via WordPress role management, waardoor gebruikers met Author-rechten geen toegang meer hebben tot de 'csv_url' parameter. Het implementeren van een Web Application Firewall (WAF) met regels om externe URL-verzoeken te blokkeren, kan ook helpen. Controleer de WordPress access logs op verdachte verzoeken naar ongebruikelijke domeinen of interne IP-adressen. Na de upgrade, controleer de plugin configuratie en de WordPress role permissions om te bevestigen dat de kwetsbaarheid is verholpen.
Update naar versie 1.3.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14610 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de TableMaster for Elementor plugin voor WordPress, waardoor geauthenticeerde aanvallers webverzoeken naar willekeurige locaties kunnen sturen.
U bent getroffen als u de TableMaster for Elementor plugin gebruikt in versie 1.0.0 tot en met 1.3.6.
Upgrade de TableMaster for Elementor plugin naar versie 1.3.7 of hoger. Als dit niet mogelijk is, beperk dan de toegang tot de Data Table widget.
Er is geen informatie over actieve exploitatiecampagnes, maar de eenvoud van SSRF-exploits maakt misbruik waarschijnlijk.
Raadpleeg de plugin website of de WordPress plugin repository voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.