Platform
wordpress
Component
wp-gdpr-cookie-consent
Opgelost in
1.0.1
CVE-2025-53316 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin WP GDPR Cookie Consent. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om een Stored Cross-Site Scripting (XSS) aanval uit te voeren. De kwetsbaarheid treft versies van WP GDPR Cookie Consent tussen 1.0.0 en 1.0.0 inclusief. Een update naar versie 1.0.1 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de context van een geauthenticeerde gebruiker. Dit kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens, het wijzigen van gebruikersinstellingen of het uitvoeren van acties namens de gebruiker. De Stored XSS component verhoogt de ernst, omdat de code persistent kan worden opgeslagen en uitgevoerd bij elk bezoek aan de pagina, wat een groter risico vormt voor de websitebezoekers en beheerders. De impact is aanzienlijk, vooral op websites die afhankelijk zijn van de plugin voor GDPR-compliance, aangezien een aanvaller de cookie-instellingen van gebruikers kan manipuleren.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 6 november 2025. Er zijn momenteel geen openbare proof-of-concept exploits beschikbaar, maar de combinatie van CSRF en Stored XSS maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De ernst van de kwetsbaarheid, gecombineerd met de populariteit van de plugin, suggereert een potentieel risico voor websites die deze gebruiken.
Websites using the WP GDPR Cookie Consent plugin, particularly those running older versions (1.0.0 and earlier), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a vulnerability in one site could potentially impact others. Sites relying on the plugin for GDPR compliance are especially vulnerable, as a successful attack could compromise user data and violate privacy regulations.
• wordpress / composer / npm:
grep -r "wp_gdpr_cookie_consent" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-gdpr-cookie-consent• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gdpr-cookie-consent/ | grep -i '1.0.0'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP GDPR Cookie Consent plugin naar versie 1.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-tokens op kritieke acties binnen de plugin. WAF-regels kunnen worden ingesteld om verdachte CSRF-verzoeken te blokkeren, maar dit is geen vervanging voor het patchen van de plugin. Controleer de WordPress plugin directory op de meest recente versie en lees de release notes voor verdere instructies. Na de upgrade, controleer de website op tekenen van ongeautoriseerde wijzigingen in cookie-instellingen of andere gebruikersgegevens.
Werk de WP GDPR Cookie Consent plugin bij naar de laatste beschikbare versie om de Cross-Site Request Forgery (CSRF) kwetsbaarheid te mitigeren. Controleer de plugin pagina op WordPress.org voor de meest recente versie en update instructies. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en uitvoercodering, om te beschermen tegen toekomstige CSRF-aanvallen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-53316 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP GDPR Cookie Consent plugin that allows for Stored XSS attacks, potentially compromising user data and website security.
You are affected if you are using WP GDPR Cookie Consent version 1.0.0 or earlier. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade the WP GDPR Cookie Consent plugin to version 1.0.1 or later. Implement WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the CSRF/XSS combination is a well-known attack pattern, and exploitation is possible.
Refer to the official WP GDPR Cookie Consent plugin documentation and website for the latest advisory and security updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.