Platform
wordpress
Component
pdf-creator-lite
Opgelost in
1.2.1
CVE-2025-49341 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in PDF Creator Lite, een WordPress plugin. Deze kwetsbaarheid kan worden misbruikt om Stored XSS aanvallen uit te voeren, wat kan leiden tot ongeautoriseerde toegang en controle over de website. De kwetsbaarheid treft versies van PDF Creator Lite van 0.0.0 tot en met 1.2. Een patch is beschikbaar.
Een succesvolle CSRF-aanval in PDF Creator Lite kan een aanvaller in staat stellen om kwaadaardige scripts op de website op te slaan en uit te voeren. Dit kan leiden tot het stelen van gevoelige informatie, het wijzigen van website-inhoud, of zelfs het overnemen van de website. De Stored XSS component verhoogt de ernst, omdat de aanvaller persistent kwaadaardige code kan opslaan die bij elk bezoek van een gebruiker wordt uitgevoerd. Dit kan gebruikt worden om beheerdersaccounts te compromitteren of om bezoekers om te leiden naar phishing-pagina's.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-12-09. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar CSRF en XSS kwetsbaarheden worden vaak misbruikt. Het is aan te raden om de website te monitoren op verdachte activiteit.
WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.
• wordpress / composer / npm:
grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "PDF Creator Lite"• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-49341 is het upgraden naar de meest recente versie van PDF Creator Lite zodra deze beschikbaar is. Indien een upgrade tijdelijk niet mogelijk is, kan het implementeren van strikte Content Security Policy (CSP) headers helpen om de impact van XSS aanvallen te beperken. Daarnaast kan het valideren en ontsmetten van alle gebruikersinvoer die door PDF Creator Lite wordt verwerkt, helpen om de kwetsbaarheid te verminderen. Controleer ook de WordPress plugin directory op updates en beveiligingsadviezen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49341 is a Cross-Site Request Forgery (CSRF) vulnerability in the PDF Creator Lite WordPress plugin, allowing for Stored XSS attacks. It affects versions 0.0.0 through 1.2.
If you are using PDF Creator Lite plugin versions 0.0.0 to 1.2 on your WordPress site, you are potentially affected by this vulnerability.
The recommended fix is to update the PDF Creator Lite plugin to the latest available version that addresses the CSRF vulnerability. Check the WordPress plugin repository for updates.
While no public exploits are currently known, the CSRF/XSS combination is a common attack vector, so active exploitation is possible.
Check the official PDF Creator Lite plugin page on the WordPress plugin repository or the developer's website for the advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.