Platform
wordpress
Component
sensitive-tag-cloud
Opgelost in
1.4.2
CVE-2025-49344 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de SensitiveTagCloud WordPress plugin. Deze kwetsbaarheid kan worden misbruikt om Stored XSS aanvallen uit te voeren, wat kan leiden tot ongeautoriseerde toegang tot en manipulatie van data. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.4.1. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid stelt een aanvaller in staat om kwaadaardige acties uit te voeren alsof ze afkomstig zijn van een geautoriseerde gebruiker. Omdat de kwetsbaarheid leidt tot Stored XSS, kan een aanvaller schadelijke scripts opslaan die worden uitgevoerd wanneer andere gebruikers de pagina bezoeken. Dit kan resulteren in het stelen van sessiecookies, het wijzigen van gebruikersprofielen, het uitvoeren van acties namens de gebruiker, en het injecteren van kwaadaardige content op de website. De impact is aanzienlijk, vooral op websites met gevoelige informatie of waar gebruikersaccounts worden beheerd.
Op dit moment is er geen publieke exploitatie van CVE-2025-49344 bekend. De kwetsbaarheid is openbaar gemaakt op 31 december 2025. De ernst van de kwetsbaarheid is hoog (CVSS 7.1) en vereist onmiddellijke aandacht. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de SensitiveTagCloud plugin naar de meest recente versie, zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om CSRF-tokens te verifiëren voor kritieke acties binnen de plugin. Daarnaast kan het implementeren van Content Security Policy (CSP) helpen om de impact van XSS-aanvallen te beperken. Controleer ook de WordPress plugin directory op updates en beveiligingsadviezen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49344 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de SensitiveTagCloud WordPress plugin, waardoor Stored XSS mogelijk is. Deze kwetsbaarheid treft versies van 0.0.0 tot en met 1.4.1.
Ja, als u de SensitiveTagCloud plugin gebruikt in versie 0.0.0 tot en met 1.4.1, bent u getroffen door deze kwetsbaarheid.
Upgrade de SensitiveTagCloud plugin naar de meest recente versie zodra deze beschikbaar is. Implementeer tot die tijd mitigaties zoals een WAF en CSP.
Op dit moment is er geen publieke exploitatie van CVE-2025-49344 bekend, maar de kwetsbaarheid is hoog risico en vereist onmiddellijke aandacht.
Controleer de WordPress plugin directory en de website van de plugin ontwikkelaar voor officiële advisories en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.