Platform
wordpress
Component
career-section
Opgelost in
1.6.1
1.7
De Career Section plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid, wat kan leiden tot Path Traversal en willekeurige bestandverwijdering. Deze kwetsbaarheid is aanwezig in alle versies tot en met 1.6, veroorzaakt door ontbrekende nonce-validatie en onvoldoende padvalidatie. Door deze kwetsbaarheid kan een ongeauthenticeerde aanvaller bestanden op de server verwijderen door een beheerder te misleiden tot het uitvoeren van een actie, zoals het klikken op een link.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de webserver te verwijderen. Dit kan leiden tot ernstige verstoring van de dienst, verlies van data en mogelijk zelfs volledige compromittering van de server. De aanvaller heeft geen directe toegang tot de server nodig, maar kan de kwetsbaarheid misbruiken door een beheerder te manipuleren. De impact is vergelijkbaar met scenario's waarin een aanvaller toegang krijgt tot gevoelige configuratiebestanden of kritieke applicatiebestanden, wat de beveiliging van de website aanzienlijk kan ondermijnen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de CSRF-aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners en kwaadwillenden. De publicatie datum is 2026-04-16, wat betekent dat er voldoende tijd is voor exploitatie.
Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/• wordpress / composer / npm:
wp plugin list | grep 'career-section'• wordpress / composer / npm:
wp plugin update career-section --version=1.7• generic web: Check WordPress plugin directory for outdated versions of Career Section.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Career Section plugin naar versie 1.7 of hoger, waarin de kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die CSRF-aanvallen detecteert en blokkeert. Controleer ook de WordPress-configuratie op extra beveiligingsmaatregelen, zoals het beperken van de rechten van de beheerder en het regelmatig controleren van de logbestanden op verdachte activiteit. Na de upgrade, verifieer de correcte werking van de plugin en controleer de serverlogbestanden op eventuele fouten.
Update naar versie 1.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14868 is a Path Traversal vulnerability in the Career Section WordPress plugin allowing attackers to delete arbitrary files via CSRF. It affects versions up to 1.6.
If you are using the Career Section WordPress plugin version 1.6 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade the Career Section plugin to version 1.7 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's nature and reliance on CSRF suggest a potential for targeted attacks.
Refer to the plugin developer's website or the WordPress plugin directory for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.