Platform
wordpress
Component
user-registration
Opgelost in
4.4.9
De User Registration & Membership plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren, zoals het verwijderen van posts, namens een geauthenticeerde gebruiker. De kwetsbaarheid beïnvloedt versies van 0.0.0 tot en met 4.4.8. Een patch is beschikbaar in versie 4.4.9.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde verwijdering van posts en andere kritieke data op een WordPress-website. Een aanvaller kan een kwaadaardige link of script creëren dat een beheerder dwingt om een actie uit te voeren zonder hun kennis, waardoor de aanvaller de controle over de website kan overnemen. De impact is aanzienlijk, vooral voor websites die afhankelijk zijn van de User Registration & Membership plugin voor het beheren van gebruikers en content. Dit kan leiden tot dataverlies, reputatieschade en verstoring van de dienstverlening.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds public proof-of-concepts beschikbaar. De ernst is beoordeeld als medium (CVSS 5.4). Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid exploiteren, maar de mogelijkheid bestaat gezien de eenvoud van CSRF-aanvallen. De kwetsbaarheid werd gepubliceerd op 2026-01-10.
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de User Registration & Membership plugin naar versie 4.4.9 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte CSRF-beschermingsmaatregelen op de website, zoals het verifiëren van nonce-waarden voor alle gevoelige acties. WAF-regels kunnen worden ingesteld om verdachte CSRF-verzoeken te blokkeren. Controleer ook de WordPress-configuratie op extra beveiligingsmaatregelen, zoals het beperken van de rechten van gebruikers.
Update naar versie 4.4.9, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14976 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de User Registration & Membership plugin voor WordPress, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
U bent getroffen als u een WordPress-website gebruikt met de User Registration & Membership plugin in versie 0.0.0 tot en met 4.4.8.
Upgrade de User Registration & Membership plugin naar versie 4.4.9 of hoger om deze kwetsbaarheid te verhelpen.
Er is geen bevestigde informatie over actieve exploitatie, maar de mogelijkheid bestaat gezien de aard van CSRF-aanvallen.
Raadpleeg de WordPress-website en de website van de plugin-ontwikkelaar voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.