Platform
wordpress
Component
last-email-address-validator
Opgelost in
1.7.2
De LEAV Last Email Address Validator plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies tot en met 1.7.1. Deze kwetsbaarheid is te wijten aan het ontbreken of onjuiste nonce-validatie in de displaysettingspage functie. Een ongeauthenticeerde aanvaller kan plugin instellingen wijzigen door een sitebeheerder te misleiden om een actie uit te voeren, zoals het klikken op een link.
Een succesvolle XSRF-aanval kan een aanvaller in staat stellen om de instellingen van de LEAV Last Email Address Validator plugin te wijzigen zonder de kennis of toestemming van de beheerder. Dit kan leiden tot ongewenste wijzigingen in de functionaliteit van de plugin, mogelijk het compromitteren van e-mailadressen of andere gevoelige gegevens die door de plugin worden verwerkt. De impact is vooral groot als de plugin wordt gebruikt om cruciale e-mailadressen te beheren, aangezien een aanvaller deze kan manipuleren voor phishing-aanvallen of andere kwaadaardige doeleinden. De kwetsbaarheid kan ook worden gebruikt om andere WordPress-plugins of thema's te compromitteren als de plugin toegang heeft tot gevoelige functies.
Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor deze specifieke kwetsbaarheid. De kwetsbaarheid is op 16 januari 2026 openbaar gemaakt. Het is onwaarschijnlijk dat deze kwetsbaarheid actief wordt misbruikt, maar het is belangrijk om deze te patchen om toekomstige aanvallen te voorkomen. De ernst is beoordeeld als medium.
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de LEAV Last Email Address Validator plugin naar een beveiligde versie. Controleer de WordPress plugin directory of de website van de ontwikkelaar voor de meest recente versie. Als een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen, overweeg dan tijdelijk de plugin uit te schakelen. Er zijn geen bekende WAF-regels of configuratiewerkarounds die deze specifieke XSRF-kwetsbaarheid effectief kunnen blokkeren zonder de functionaliteit van de plugin te beïnvloeden. Na de upgrade, controleer de plugin instellingen om er zeker van te zijn dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14853 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de LEAV Last Email Address Validator WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
U bent getroffen als u de LEAV Last Email Address Validator plugin gebruikt in versie 1.7.1 of lager.
Upgrade de LEAV Last Email Address Validator plugin naar de nieuwste versie om de kwetsbaarheid te verhelpen.
Op dit moment is er geen bewijs van actieve exploitatie, maar het is belangrijk om te patchen om toekomstige aanvallen te voorkomen.
Controleer de WordPress plugin directory of de website van de ontwikkelaar voor het officiële beveiligingsadvies.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.