Platform
wordpress
Component
embed-ispring
Opgelost in
1.0.1
CVE-2025-23922 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in Harsh iSpring Embedder. Deze kwetsbaarheid stelt een aanvaller in staat om een webshell te uploaden naar de webserver, wat kan leiden tot volledige controle over de applicatie. De kwetsbaarheid treft versies van iSpring Embedder van 0.0.0 tot en met 1.0. Een fix is beschikbaar in versie 1.0.1.
De CSRF-kwetsbaarheid in iSpring Embedder maakt het mogelijk voor een aanvaller om, zonder authenticatie, acties uit te voeren namens een geauthenticeerde gebruiker. In dit specifieke geval kan de aanvaller een webshell uploaden. Een webshell is een kwaadaardig script dat de aanvaller toegang geeft tot de webserver en de mogelijkheid biedt om commando's uit te voeren. Dit kan leiden tot volledige controle over de server, data-exfiltratie, en verdere aanvallen op andere systemen binnen het netwerk. De impact is significant vanwege de mogelijkheid van remote code execution en de potentieel brede toegang tot gevoelige data.
Deze kwetsbaarheid werd publiek bekendgemaakt op 16 januari 2025. Er zijn momenteel geen openbare proof-of-concept exploits bekend, maar de kritieke ernstscore en de mogelijkheid tot webshell upload maken dit een aantrekkelijk doelwit voor aanvallers. Het is aan te raden om de kwetsbaarheid te patchen zo snel mogelijk. De kwetsbaarheid is nog niet opgenomen in de CISA KEV catalogus.
WordPress websites utilizing the iSpring Embedder plugin are at direct risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability on multiple websites hosted on the same server. Sites using older, unpatched versions of WordPress or those with weak security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r 'ispring_embedder' /var/www/html/
wp plugin list | grep iSpring Embedder• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ispring-embedder/ | grep -i 'server'disclosure
Exploit Status
EPSS
1.52% (81% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-23922 is het upgraden van iSpring Embedder naar versie 1.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte Content Security Policy (CSP) regels om het uploaden van externe scripts te beperken. Daarnaast kan het implementeren van CSRF-bescherming op kritieke endpoints, zoals de upload functionaliteit, helpen om de impact te verminderen. Controleer de WordPress plugin directory op updates en bekijk de iSpring Embedder documentatie voor gedetailleerde instructies over het upgraden en configureren van de plugin.
Werk de iSpring Embedder plugin bij naar de laatste beschikbare versie om de CSRF kwetsbaarheid die willekeurige bestandsuploads mogelijk maakt te mitigeren. Raadpleeg de plugin repository op wordpress.org voor de meest recente versie en update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-23922 is a critical Cross-Site Request Forgery (CSRF) vulnerability in iSpring Embedder that allows attackers to upload web shells, potentially leading to remote code execution.
You are affected if you are using iSpring Embedder versions 0.0.0 through 1.0. Check your plugin version and upgrade immediately if necessary.
Upgrade iSpring Embedder to version 1.0.1 or later. Consider implementing a Content Security Policy (CSP) as an interim measure.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a high-priority concern and potential for exploitation is high.
Refer to the official iSpring Embedder website or plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.