Platform
wordpress
Component
simple-stripe
Opgelost in
0.9.18
CVE-2025-48085 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid die leidt tot Stored XSS in ZIPANG Simple Stripe. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts op te slaan en uit te voeren in de browser van andere gebruikers. De kwetsbaarheid treft versies van Simple Stripe van 0.0.0 tot en met 0.9.17. Een fix is beschikbaar in versie 0.9.18.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van acties namens gebruikers zonder hun toestemming, en het beschadigen van de reputatie van de website. De aanvallende kan kwaadaardige scripts injecteren via CSRF-verzoeken, die vervolgens worden opgeslagen in de database en worden uitgevoerd wanneer andere gebruikers de pagina bezoeken. Dit kan resulteren in accountovername, phishing-aanvallen en andere schadelijke activiteiten. De impact is aanzienlijk, aangezien de kwetsbaarheid kan worden misbruikt om de beveiliging van de hele WordPress-site te compromitteren.
Deze kwetsbaarheid is publiekelijk bekend gemaakt op 2025-11-06. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-gebaseerde aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CVSS score van 7.1 (HIGH) duidt op een aanzienlijke dreiging.
Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-stripe• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van ZIPANG Simple Stripe naar versie 0.9.18 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van CSRF-beschermingsmaatregelen op de kwetsbare pagina's. Dit kan worden bereikt door het gebruik van CSRF-tokens in formulieren en het valideren van de herkomst van verzoeken. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadaardige verzoeken te blokkeren. Controleer de WordPress plugin directory op updates en beveiligingsadviezen.
Werk de Simple Stripe plugin bij naar de laatste beschikbare versie om de CSRF-kwetsbaarheid te mitigeren die kan leiden tot de uitvoering van XSS-code. Raadpleeg de plugin-pagina op WordPress.org voor de meest recente versie en update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48085 is a Stored Cross-Site Scripting (XSS) vulnerability in the ZIPANG Simple Stripe WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ZIPANG Simple Stripe versions 0.0.0 through 0.9.17. Upgrade to 0.9.18 or later to mitigate the risk.
Upgrade the ZIPANG Simple Stripe plugin to version 0.9.18 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
No active exploitation has been confirmed as of 2025-11-06, but the vulnerability's nature suggests a moderate probability of exploitation.
Check the ZIPANG Simple Stripe plugin page on WordPress.org or the developer's website for the official advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.