Platform
wordpress
Component
responsive-add-ons
Opgelost in
3.4.3
3.4.3
CVE-2025-15488 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de Responsive Plus – Elementor Templates & Starter Sites plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat code uit te voeren op de server. De kwetsbaarheid treft versies van de plugin tot en met 3.4.3 (exclusief). Een update naar versie 3.4.3 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2025-15488 kan leiden tot volledige overname van de WordPress website. Aanvallers kunnen kwaadaardige code uploaden en uitvoeren, waardoor ze toegang kunnen krijgen tot gevoelige gegevens, de website kunnen wijzigen of gebruiken voor verdere aanvallen. Dit kan resulteren in dataverlies, reputatieschade en verstoring van de dienstverlening. De impact is vergelijkbaar met andere RCE kwetsbaarheden in WordPress plugins, waarbij de mogelijkheid bestaat om de gehele server te compromitteren als de WordPress installatie niet goed is beveiligd.
Deze kwetsbaarheid is openbaar bekend en de kans op exploitatie is hoog. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke CVE, maar de RCE aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie benadrukt.
Exploit Status
EPSS
0.10% (28% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2025-15488 is het updaten van de Responsive Plus plugin naar versie 3.4.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. Controleer ook de WordPress installatie op andere kwetsbaarheden en zorg ervoor dat alle plugins en thema's up-to-date zijn. Implementeer web application firewall (WAF) regels om verdachte verzoeken naar de plugin te blokkeren.
Update naar versie 3.4.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
RCE is a type of vulnerability that allows an attacker to execute arbitrary code on a server. This can give the attacker complete control over the server.
If you are using a version of Responsive Plus prior to 3.4.3, your website is vulnerable. You can check the plugin version in the WordPress admin dashboard, under the 'Plugins' section.
Implement additional security measures, such as a web application firewall (WAF) and monitor server logs.
Vulnerability scanners are available that can detect this vulnerability. Consult with your web security provider for more information.
A CVSS score of 9.8 indicates a critical risk. It means the vulnerability is easy to exploit and can have a significant impact on website security.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.