Platform
wordpress
Component
noindex-by-path
Opgelost in
1.0.1
CVE-2025-49353 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Noindex by Path'. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om Stored XSS uit te voeren, wat kan leiden tot ongeautoriseerde acties en potentieel compromitteren van de website. De kwetsbaarheid treft versies van Noindex by Path van 0.0.0 tot en met 1.0. Een patch is beschikbaar, upgrade uw plugin om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot Stored XSS. Dit betekent dat een aanvaller kwaadaardige JavaScript-code kan opslaan op de server, die vervolgens wordt uitgevoerd wanneer andere gebruikers de website bezoeken. De impact hiervan kan variëren van het stelen van gebruikersgegevens (zoals cookies en sessie-informatie) tot het overnemen van de website en het uitvoeren van willekeurige code. De aanvaller kan bijvoorbeeld de inhoud van pagina's wijzigen, gebruikers omleiden naar kwaadaardige websites of malware installeren. Dit is vergelijkbaar met andere XSS-aanvallen die de integriteit en vertrouwelijkheid van de website in gevaar brengen.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 31 december 2025. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de combinatie van CSRF en Stored XSS maakt deze kwetsbaarheid potentieel gevaarlijk. De impact is afhankelijk van de configuratie van de plugin en de gevoeligheid van de data die de website verwerkt. Het is aan te raden om deze kwetsbaarheid serieus te nemen en onmiddellijk actie te ondernemen.
Websites using the Noindex by Path WordPress plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "noindex_by_path" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep noindex-by-path• wordpress / composer / npm:
wp plugin update noindex-by-pathdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de 'Noindex by Path' plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-tokens in alle kritieke formulieren en acties binnen de plugin. Een Web Application Firewall (WAF) kan ook worden geconfigureerd om CSRF-aanvallen te detecteren en te blokkeren. Controleer de WordPress plugin directory voor updates en beveiligingsadviezen. Na de upgrade, controleer de website logboeken op verdachte activiteit.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49353 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Noindex by Path' die leidt tot Stored XSS, waardoor aanvallers kwaadaardige scripts kunnen uitvoeren.
Ja, als u de 'Noindex by Path' plugin gebruikt in versie 0.0.0 tot en met 1.0, bent u kwetsbaar voor deze CSRF-kwetsbaarheid.
Upgrade de 'Noindex by Path' plugin naar de nieuwste beveiligde versie zodra deze beschikbaar is. Implementeer CSRF-tokens als tijdelijke maatregel.
Hoewel er momenteel geen publieke exploits beschikbaar zijn, is de combinatie van CSRF en Stored XSS potentieel gevaarlijk en kan deze kwetsbaarheid actief worden misbruikt.
Controleer de WordPress plugin directory en de website van de plugin ontwikkelaar voor het officiële beveiligingsadvies.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.