Platform
wordpress
Component
stopwords-for-comments
Opgelost in
1.1.1
De Stopwords for comments plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF). Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om stopwords toe te voegen of te verwijderen via een vervalst verzoek, mits ze een beheerder kunnen overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid treft WordPress websites die versie 0.0.0 tot en met 1.1 van de plugin gebruiken. Een upgrade naar een recente, veilige versie is noodzakelijk om de risico's te mitigeren.
Een succesvolle XSRF-aanval kan aanzienlijke gevolgen hebben voor een WordPress website. Een aanvaller kan stopwords toevoegen of verwijderen, wat de functionaliteit van commentaarfilters kan beïnvloeden en mogelijk spam of ongepaste inhoud kan toestaan. Hoewel de directe impact beperkt kan zijn tot de commentaarfunctionaliteit, kan het een eerste stap zijn in een bredere aanval op de website. De kwetsbaarheid is vooral zorgwekkend voor websites met een groot aantal gebruikers en actieve commentaren, omdat deze een groter aanvalsoppervlak bieden. Het misbruik van deze kwetsbaarheid kan leiden tot een verminderde gebruikerservaring en een reputatieschade voor de website.
Op dit moment is er geen publieke exploitatie van CVE-2025-15376 bekend. De kwetsbaarheid is opgenomen in de CISA KEV catalogus met een score die de waarschijnlijkheid van exploitatie aangeeft. Er zijn geen actieve campagnes bekend die deze specifieke kwetsbaarheid misbruiken. De publicatie van de CVE op 2026-01-14 geeft aan dat de kwetsbaarheid openbaar is gemaakt en dat onderzoekers de mogelijkheid tot exploitatie onderzoeken.
WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.
• wordpress / composer / npm:
grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-15376 is het upgraden van de Stopwords for comments plugin naar de nieuwste versie, zodra beschikbaar. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. Implementeer strikte gebruikersauthenticatie en autorisatiecontroles op de WordPress website. Controleer de WordPress website regelmatig op verdachte activiteiten en ongebruikelijke configuratiewijzigingen. Het is aan te raden om een Web Application Firewall (WAF) te gebruiken om XSRF-aanvallen te detecteren en te blokkeren.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15376 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Stopwords for comments WordPress plugin, waardoor ongeauthenticeerde aanvallers stopwords kunnen toevoegen of verwijderen.
U bent getroffen als u de Stopwords for comments plugin gebruikt in versie 0.0.0 tot en met 1.1.
Upgrade de Stopwords for comments plugin naar de nieuwste versie zodra beschikbaar. Indien niet mogelijk, schakel de plugin tijdelijk uit.
Op dit moment is er geen publieke exploitatie bekend, maar de kwetsbaarheid is opgenomen in de CISA KEV catalogus.
Raadpleeg de WordPress plugin directory en de website van de plugin ontwikkelaar voor updates en advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.