Platform
wordpress
Component
buddypress-humanity
Opgelost in
1.2.1
CVE-2025-31033 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Buddypress Humanity plugin. Een succesvolle exploitatie kan leiden tot ongeautoriseerde acties namens een geauthenticeerde gebruiker. Deze kwetsbaarheid treft versies van Buddypress Humanity tussen 0.0.0 en 1.2 inclusief. De kwetsbaarheid is verholpen in versie 1.2.1.
Een CSRF-kwetsbaarheid stelt een aanvaller in staat om een geauthenticeerde gebruiker onbewust acties uit te voeren die deze normaal gesproken niet zou uitvoeren. In het geval van Buddypress Humanity kan een aanvaller bijvoorbeeld de instellingen van een gebruiker wijzigen, profielinformatie aanpassen of andere acties uitvoeren die de gebruiker beheert. Dit kan leiden tot verlies van controle over het account en mogelijk tot verdere compromittering van de website. De hoge CVSS-score (9.8) weerspiegelt de ernst van de kwetsbaarheid en het potentieel voor aanzienlijke schade.
Op dit moment zijn er geen bekende actieve campagnes die deze kwetsbaarheid exploiteren. Er zijn ook geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2025-04-09. De ernst van de kwetsbaarheid vereist echter wel aandacht en snelle mitigatie.
WordPress websites utilizing the Buddypress Humanity plugin, particularly those with shared hosting environments or legacy configurations, are at increased risk. Sites with weak password policies or users who frequently click on suspicious links are also more vulnerable to CSRF attacks.
• wordpress / composer / npm:
grep -r 'humanity_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/buddypress-humanity/ | grep -i 'csrf-token'disclosure
Exploit Status
EPSS
0.17% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-31033 is het upgraden van de Buddypress Humanity plugin naar versie 1.2.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van CSRF-beschermingsmaatregelen op de website, zoals het gebruik van CSRF-tokens in formulieren en het valideren van de Origin-header. Een Web Application Firewall (WAF) kan ook helpen om CSRF-aanvallen te detecteren en te blokkeren. Controleer na de upgrade of de plugin correct functioneert en of er geen onverwachte problemen zijn ontstaan.
Werk de Buddypress Humanity plugin bij naar de laatste beschikbare versie om de CSRF kwetsbaarheid te mitigeren. Controleer de plugin updates direct in het WordPress beheerpaneel of via de WordPress plugin repository. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en uitvoercodering, om toekomstige CSRF aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-31033 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting the Buddypress Humanity WordPress plugin, allowing attackers to perform unauthorized actions.
Yes, if you are using Buddypress Humanity versions 0.0.0 through 1.2, you are affected by this vulnerability.
Upgrade the Buddypress Humanity plugin to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the CSRF nature of the vulnerability suggests a moderate probability of exploitation.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.