Platform
wordpress
Component
onestore-sites
Opgelost in
0.1.2
CVE-2025-25107 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de OneStore Sites WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een ingelogde gebruiker. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 0.1.1. Een update naar versie 0.1.2 is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de OneStore Sites plugin, het creëren van nieuwe gebruikers met beheerdersrechten, of het uitvoeren van andere acties die normaal gesproken alleen door de gebruiker zelf kunnen worden uitgevoerd. Dit kan resulteren in een compromittering van de website en de gegevens die erin zijn opgeslagen. De impact is aanzienlijk, vooral omdat de kwetsbaarheid een kritieke CVSS-score heeft en een aanvaller geen authenticatie hoeft te omzeilen om de aanval uit te voeren. Een aanvaller kan deze kwetsbaarheid gebruiken om de controle over de WordPress website over te nemen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-02-07. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de openbare aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De CVSS-score van 9.6 duidt op een hoog risico en vereist onmiddellijke aandacht.
WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de OneStore Sites plugin naar versie 0.1.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Zorg ervoor dat alle formulieren in de plugin voorzien zijn van CSRF-tokens. Controleer de WordPress plugin directory op updates en volg de officiële documentatie voor de plugin. Na de upgrade, controleer de plugin configuratie om te bevestigen dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Werk de OneStore Sites plugin bij naar de laatste beschikbare versie om de Cross-Site Request Forgery (CSRF) kwetsbaarheid te mitigeren. Controleer de plugin pagina op WordPress.org voor de meest recente versie en update instructies. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en uitvoercodering, om toekomstige CSRF-aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-25107 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de OneStore Sites WordPress plugin, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u de OneStore Sites plugin gebruikt in versie 0.0.0 tot en met 0.1.1, dan bent u getroffen door deze kwetsbaarheid.
Update de OneStore Sites plugin naar versie 0.1.2 of hoger. Implementeer indien mogelijk een WAF met CSRF-bescherming.
Er zijn momenteel geen bekende actieve campagnes, maar de openbare aard van de kwetsbaarheid maakt exploitatie waarschijnlijk.
Raadpleeg de officiële WordPress plugin directory en de website van de plugin ontwikkelaar voor de meest recente informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.