Platform
wordpress
Component
recent-posts-from-each-category
Opgelost in
1.4.1
CVE-2025-49354 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Recent Posts From Each Category' van Mindstien Technologies. Deze kwetsbaarheid maakt misbruik mogelijk om Stored XSS uit te voeren, wat kan resulteren in ongeautoriseerde acties en potentieel schadelijke code-uitvoering op de website. De kwetsbaarheid treft versies van 0.0.0 tot en met 1.4. Een update naar de nieuwste versie is vereist om dit probleem te verhelpen.
Een succesvolle CSRF-aanval in combinatie met Stored XSS kan leiden tot ernstige gevolgen. Een aanvaller kan, via een kwaadaardige website of e-mail, een gebruiker dwingen om onbedoelde acties uit te voeren op een website die de 'Recent Posts From Each Category' plugin gebruikt. Dit kan variëren van het wijzigen van instellingen tot het injecteren van schadelijke scripts die vervolgens worden uitgevoerd wanneer andere gebruikers de website bezoeken. De Stored XSS component verhoogt de ernst, omdat de geïnjecteerde code persistent kan worden opgeslagen en door meerdere gebruikers kan worden uitgevoerd. De impact kan variëren van defacement van de website tot het stelen van gebruikersgegevens en het compromitteren van de hele WordPress installatie.
Op dit moment zijn er geen openbare exploitatie details bekend, maar de combinatie van CSRF en Stored XSS maakt deze kwetsbaarheid potentieel gevaarlijk. Het is waarschijnlijk dat deze kwetsbaarheid in de toekomst verder zal worden onderzocht. De publicatiedatum van 31 december 2025 suggereert dat de kwetsbaarheid recent is ontdekt. Er is geen informatie beschikbaar over actieve campagnes of vermelding op de CISA KEV catalogus.
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-49354 is het updaten van de 'Recent Posts From Each Category' plugin naar de meest recente versie, zodra beschikbaar. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-bescherming op kritieke acties binnen de plugin via een WordPress beveiligingsplugin. Het gebruik van een Web Application Firewall (WAF) kan helpen om kwaadaardige verzoeken te blokkeren. Controleer de WordPress logbestanden op verdachte patronen die duiden op CSRF-aanvallen of XSS-injecties. Na de update, controleer de plugin instellingen en zorg ervoor dat alle configuratie-opties correct zijn ingesteld om verdere kwetsbaarheden te voorkomen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49354 is a Cross-Site Request Forgery (CSRF) vulnerability in the Mindstien Technologies Recent Posts From Each Category WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using the Recent Posts From Each Category plugin in versions 0.0.0 through 1.4.
Upgrade to a patched version of the plugin as soon as it's available. Disable the plugin as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability warrants careful monitoring.
Check the Mindstien Technologies website and the WordPress plugin repository for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.