Platform
wordpress
Component
kento-latest-tabs
Opgelost in
1.5.1
De Latest Tabs WordPress plugin is kwetsbaar voor Cross-Site Request Forgery (CSRF) in versies 1.0.0 tot en met 1.5. Deze kwetsbaarheid is te wijten aan het ontbreken of onjuiste gebruik van nonce-validatie in de instellingen update handler. Hierdoor kunnen ongeauthenticeerde aanvallers plugin instellingen wijzigen via een vervalste request, mits ze een beheerder kunnen overtuigen om een actie uit te voeren, zoals het klikken op een link. Een update naar versie 1.6 is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de plugin-instellingen. Dit kan de functionaliteit van de website beïnvloeden, de beveiliging aantasten of zelfs leiden tot het compromitteren van de website. Een aanvaller kan bijvoorbeeld instellingen wijzigen die de toegang tot bepaalde data regelen, of instellingen aanpassen die de website kwetsbaar maken voor andere aanvallen. De impact is afhankelijk van de specifieke instellingen die kunnen worden gewijzigd en de privileges van de gebruiker die de actie uitvoert.
Er zijn momenteel geen publieke exploits bekend voor deze kwetsbaarheid. De kwetsbaarheid is openbaar gemaakt op 2026-01-07. De kans op actieve exploitatie is op dit moment laag, maar het is belangrijk om de plugin zo snel mogelijk te updaten om het risico te minimaliseren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend).
WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/• wordpress / composer / npm:
wp plugin list --status=all | grep 'latest-tabs'• wordpress / composer / npm:
wp plugin update latest-tabs --alldisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Latest Tabs plugin naar versie 1.6 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het toevoegen van een Content Security Policy (CSP) om de bronnen die de browser mag laden te beperken. WAF-regels kunnen worden ingesteld om verdachte CSRF-requests te blokkeren. Controleer de WordPress-configuratie op extra beveiligingsmaatregelen en zorg ervoor dat alle andere plugins en thema's up-to-date zijn. Na de upgrade, controleer de plugin-instellingen om er zeker van te zijn dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14999 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Latest Tabs WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
Ja, als u de Latest Tabs plugin gebruikt in versie 1.0.0 tot en met 1.5, dan bent u kwetsbaar voor deze CSRF-aanval.
Update de Latest Tabs plugin naar versie 1.6 of hoger om deze kwetsbaarheid te verhelpen. Implementeer extra beveiligingsmaatregelen zoals een CSP.
Op dit moment zijn er geen publieke exploits bekend, maar het is belangrijk om de plugin zo snel mogelijk te updaten om het risico te minimaliseren.
Raadpleeg de WordPress plugin directory voor de Latest Tabs plugin en de bijbehorende changelog: [https://wordpress.org/plugins/latest-tabs/](https://wordpress.org/plugins/latest-tabs/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.