Platform
wordpress
Component
newsletter-email-subscribe
Opgelost in
2.5.4
De Newsletter Email Subscribe plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid in versies tot en met 2.4. Deze kwetsbaarheid is te wijten aan onjuiste nonce validatie in de nelssettingspage functie. Een succesvolle exploitatie kan leiden tot ongeautoriseerde wijzigingen in plugin instellingen. Gelukkig is er een patch beschikbaar in versie 2.5.4.
Een aanvaller kan deze CSRF kwetsbaarheid misbruiken om plugin instellingen te wijzigen zonder de toestemming van de beheerder. Dit kan leiden tot ongewenste wijzigingen in de nieuwsbrief configuratie, zoals het wijzigen van de afzender, het toevoegen van ongewenste ontvangers of het uitschakelen van belangrijke functies. De impact is vooral groot als de plugin wordt gebruikt voor het verzamelen van e-mailadressen, omdat een aanvaller deze kan misbruiken voor spam of phishing campagnes. Het is vergelijkbaar met andere CSRF kwetsbaarheden waarbij een aanvaller een gebruiker kan dwingen om acties uit te voeren zonder dat de gebruiker zich daarvan bewust is.
Deze kwetsbaarheid is publiekelijk bekend en er zijn geen bekende actieve campagnes die deze specifiek misbruiken. Er zijn geen openbare Proof-of-Concept (POC) exploits beschikbaar op het moment van schrijven. De kwetsbaarheid is gepubliceerd op 2026-01-07 en is opgenomen in het NVD (National Vulnerability Database).
WordPress websites utilizing the Newsletter Email Subscribe plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as attackers could potentially compromise multiple websites simultaneously.
• wordpress / composer / npm:
grep -r 'nels_settings_page' /var/www/html/wp-content/plugins/newsletter-email-subscribe/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Newsletter Email Subscribe'• wordpress / composer / npm:
wp plugin update --alldisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Newsletter Email Subscribe plugin naar versie 2.5.4 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen. Een Web Application Firewall (WAF) kan worden geconfigureerd om CSRF-aanvallen te detecteren en te blokkeren. Zorg ervoor dat alle gebruikers met beheerdersrechten zich bewust zijn van het risico van phishing-aanvallen en voorzichtig zijn met het klikken op links in e-mails of andere berichten. Controleer de WordPress logs op verdachte verzoeken die de nelssettingspage functie aanroepen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14904 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Newsletter Email Subscribe plugin voor WordPress, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
Ja, als u versie 0.0.0 tot en met 2.4 van de Newsletter Email Subscribe plugin gebruikt, bent u kwetsbaar voor deze CSRF kwetsbaarheid.
Upgrade de Newsletter Email Subscribe plugin naar versie 2.5.4 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment zijn er geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar het is belangrijk om de plugin te updaten om toekomstige risico's te vermijden.
Raadpleeg de officiële WordPress plugin directory en de website van de plugin ontwikkelaar voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.