Platform
wordpress
Component
afiliados-de-amazon-lite
Opgelost in
1.0.1
CVE-2025-14734 beschrijft een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Amazon affiliate lite Plugin voor WordPress. Deze kwetsbaarheid stelt een aanvaller in staat om plugin instellingen te wijzigen door een beheerder te misleiden tot het uitvoeren van een actie via een vervalst verzoek. De kwetsbaarheid treft versies van de plugin tot en met 1.0.0. Een update naar de nieuwste versie is de aanbevolen oplossing.
Een succesvolle XSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de plugininstellingen. Dit kan de functionaliteit van de website beïnvloeden, de affiliate-tracking verstoren of zelfs de integriteit van de gegevens in gevaar brengen. Een aanvaller kan bijvoorbeeld de affiliate-links wijzigen, waardoor gebruikers naar andere websites worden doorgestuurd of verkeerde tracking-informatie wordt verzonden. De impact is vooral groot als de plugin wordt gebruikt voor belangrijke affiliate-marketingcampagnes, omdat een aanvaller de resultaten van deze campagnes kan manipuleren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de beschikbaarheid van de informatie maakt het een aantrekkelijk doelwit voor aanvallers. De publicatie datum van 2025-12-20 geeft aan dat de kwetsbaarheid recent is ontdekt en gepubliceerd.
WordPress websites utilizing the Amazon affiliate lite Plugin, particularly those with shared hosting environments or lacking robust administrator training, are at increased risk. Sites with less frequent security audits and outdated plugin versions are also more vulnerable.
• wordpress / composer / npm:
grep -r 'ADAL_settings_page' /var/www/html/wp-content/plugins/amazon-affiliate-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'amazon-affiliate-lite'• wordpress / composer / npm:
wp plugin list --status=active | grep 'amazon-affiliate-lite'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Amazon affiliate lite Plugin naar de meest recente versie, zodra deze beschikbaar is. Als een directe upgrade niet mogelijk is, kan het implementeren van een Content Security Policy (CSP) helpen om XSRF-aanvallen te beperken door de bronnen te beperken waar de browser verbinding mee mag maken. Verder is het belangrijk om te zorgen voor een sterke authenticatie en autorisatie voor alle beheerderaccounts en om gebruikers te waarschuwen voor verdachte links of verzoeken. Controleer de plugin-configuratie op ongebruikelijke wijzigingen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14734 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Amazon affiliate lite Plugin voor WordPress, waardoor een aanvaller plugin instellingen kan wijzigen via een misleidend verzoek.
Ja, als u versie 1.0.0 of lager van de Amazon affiliate lite Plugin gebruikt, bent u kwetsbaar voor deze XSRF-aanval.
De beste oplossing is het updaten van de plugin naar de nieuwste versie zodra deze beschikbaar is. Implementeer tijdelijk mitigaties zoals een Content Security Policy (CSP).
Er zijn momenteel geen meldingen van actieve exploitatie, maar de openbare bekendmaking maakt het een potentieel doelwit.
Raadpleeg de WordPress plugin directory en de website van de plugin-ontwikkelaar voor het officiële advies en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.