Platform
wordpress
Component
wp-caldav2ics
Opgelost in
1.3.5
CVE-2025-59131 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP-CalDav2ICS WordPress plugin. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om Stored XSS uit te voeren, wat kan leiden tot het stelen van gebruikersgegevens en het compromitteren van de website. De kwetsbaarheid treft versies van WP-CalDav2ICS van 0.0.0 tot en met 1.3.4. Een patch is beschikbaar in latere versies.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid stelt een aanvaller in staat om kwaadaardige acties uit te voeren namens een geauthenticeerde gebruiker zonder hun kennis of toestemming. In dit geval kan de aanvaller Stored XSS injecteren, wat betekent dat de kwaadaardige code wordt opgeslagen op de server en vervolgens wordt uitgevoerd wanneer andere gebruikers de pagina bezoeken. Dit kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen, wachtwoorden en andere persoonlijke gegevens. De aanvaller kan ook de website overnemen en kwaadaardige code uitvoeren, wat de integriteit en beschikbaarheid van de website in gevaar brengt. De impact is verhoogd door de mogelijkheid van Stored XSS, waardoor de aanval persistent kan zijn.
Er is momenteel geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een lage waarschijnlijkheid van exploitatie. Er zijn geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid. De publicatie van de CVE vond plaats op 30 december 2025.
Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS• generic web:
curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP-CalDav2ICS plugin naar een versie die de kwetsbaarheid heeft verholpen. Controleer de WordPress plugin directory voor de meest recente versie. Als een directe upgrade niet mogelijk is, overweeg dan om de plugin tijdelijk uit te schakelen of de rechten van gebruikers te beperken. Implementeer strikte inputvalidatie en output encoding om de impact van XSS te verminderen. Overweeg het gebruik van een Web Application Firewall (WAF) om CSRF-aanvallen te detecteren en te blokkeren. Controleer regelmatig de WordPress website op verdachte activiteit.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-59131 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP-CalDav2ICS WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using WP-CalDav2ICS versions 0.0.0 through 1.3.4. Upgrade to a patched version as soon as it becomes available.
Upgrade the WP-CalDav2ICS plugin to the latest available version. Until then, restrict access and implement a Content Security Policy (CSP).
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the fix promptly.
Check the WP-CalDav2ICS plugin page on WordPress.org or the developer's website for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.