Platform
wordpress
Component
munk-sites
Opgelost in
1.0.8
CVE-2025-25101 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de MetricThemes Munk Sites WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren, alsof ze een legitieme gebruiker zijn. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.0.7. Een fix is beschikbaar in versie 1.0.8.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de Munk Sites plugin, het aanmaken van nieuwe gebruikers met beheerdersrechten, of het uitvoeren van andere acties die normaal gesproken alleen door geauthenticeerde gebruikers kunnen worden uitgevoerd. Dit kan resulteren in een compromittering van de website en de gegevens die erin zijn opgeslagen. De impact is aanzienlijk, vooral omdat de kwetsbaarheid een CRITICAL CVSS score heeft en de plugin mogelijk wordt gebruikt voor kritieke functionaliteit op de website. Een aanvaller kan deze kwetsbaarheid uitbuiten om de controle over de website over te nemen.
Deze kwetsbaarheid is publiekelijk bekend sinds 2025-02-07. Er zijn momenteel geen openbare proof-of-concept exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De hoge CVSS score duidt op een potentieel hoog risico. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid op het moment van schrijven.
Websites using the MetricThemes Munk Sites plugin, particularly those with administrative access or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'munk-sites/includes/class-munk-sites-admin.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/munk-sites/admin/ | grep -i 'csrf-token'disclosure
Exploit Status
EPSS
0.74% (73% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Munk Sites plugin naar versie 1.0.8 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om CSRF-tokens te valideren en kwaadaardige verzoeken te blokkeren. Zorg ervoor dat alle formulieren in de plugin CSRF-tokens gebruiken. Controleer de WordPress plugin directory op updates en beveiligingsadviezen. Na de upgrade, controleer de website op ongebruikelijke activiteit en bekijk de WordPress logs op verdachte verzoeken.
Werk de Munk Sites plugin bij naar de laatste beschikbare versie om de CSRF-kwetsbaarheid te mitigeren. Deze update pakt de mogelijkheid aan dat een aanvaller ongeautoriseerde acties op uw WordPress-website kan uitvoeren via vervalste verzoeken. Zorg ervoor dat u een back-up van uw site maakt voordat u bijwerkt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-25101 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting versions 0.0.0–1.0.7 of the MetricThemes Munk Sites WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using the Munk Sites plugin in versions 0.0.0 through 1.0.7. Upgrade to 1.0.8 or later to mitigate the risk.
Upgrade the Munk Sites plugin to version 1.0.8 or later. If upgrading is not possible, implement a WAF with CSRF protection rules.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your site closely.
Refer to the MetricThemes website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.