Platform
wordpress
Component
simple-crypto-shortcodes
Opgelost in
1.0.3
De Simple Crypto Shortcodes plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies tot en met 1.0.2. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce validatie in de scs_backend functie. Hierdoor kan een ongeauthenticeerde aanvaller plugin instellingen wijzigen door een sitebeheerder te misleiden om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid werd publiekelijk bekendgemaakt op 24 januari 2026.
Een succesvolle XSRF-aanval kan een aanvaller in staat stellen om plugin instellingen te wijzigen zonder de juiste authenticatie. Dit kan leiden tot ongewenste configuratiewijzigingen, het toevoegen van kwaadaardige code of het compromitteren van de functionaliteit van de plugin. De impact is groter als de plugin gevoelige informatie verwerkt of toegang heeft tot kritieke systeemfuncties. Een aanvaller kan bijvoorbeeld instellingen wijzigen die de manier waarop cryptografische shortcodes werken beïnvloeden, waardoor de beveiliging van de website wordt aangetast.
Er zijn momenteel geen publieke proof-of-concept exploits bekend voor deze kwetsbaarheid. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid. De publicatie van de kwetsbaarheid vond plaats op 24 januari 2026.
WordPress websites utilizing the Simple Crypto Shortcodes plugin, particularly those with administrative users who frequently interact with the plugin's backend settings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch CSRF attacks against others.
• wordpress / composer / npm:
grep -r 'scs_backend' /var/www/html/wp-content/plugins/simple-crypto-shortcodes/• wordpress / composer / npm:
wp plugin list --status=all | grep 'simple-crypto-shortcodes'• wordpress / composer / npm:
wp plugin update simple-crypto-shortcodesdisclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Simple Crypto Shortcodes plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van strikte Content Security Policy (CSP) headers zijn om de bronnen te beperken die de plugin kan laden. Daarnaast kan het implementeren van een WAF (Web Application Firewall) helpen om XSRF-aanvallen te detecteren en te blokkeren. Controleer de WordPress plugin directory op updates en beveiligingsadviezen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14903 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Simple Crypto Shortcodes WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
U bent getroffen als u de Simple Crypto Shortcodes plugin gebruikt in versie 1.0.0 tot en met 1.0.2.
Upgrade de plugin naar een beveiligde versie zodra deze beschikbaar is. Implementeer CSP headers of een WAF als tijdelijke workaround.
Er zijn momenteel geen publieke exploits bekend, maar de kwetsbaarheid is opgenomen in de CISA KEV catalogus.
Controleer de WordPress plugin directory en de website van de plugin-ontwikkelaar voor updates en beveiligingsadviezen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.