Platform
wordpress
Component
ar-for-wordpress
Opgelost in
8.34.1
CVE-2025-60156 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de AR For WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om een web shell te uploaden naar de webserver, wat kan leiden tot volledige controle over de website. De kwetsbaarheid treft versies van AR For WordPress van 0.0.0 tot en met 8.34. Een fix is beschikbaar in versie 7.98.1.
De CSRF-kwetsbaarheid in AR For WordPress maakt het mogelijk voor een aanvaller om, zonder authenticatie, acties uit te voeren namens een geauthenticeerde gebruiker. In dit specifieke geval kan de aanvaller een web shell uploaden. Een web shell is een kwaadaardig script dat een aanvaller toegang geeft tot de webserver, waardoor deze code kan uitvoeren, bestanden kan manipuleren en mogelijk de volledige website kan overnemen. De impact is kritiek, aangezien een succesvolle exploitatie kan leiden tot dataverlies, reputatieschade en verstoring van de dienstverlening. Dit is vergelijkbaar met scenario's waarbij een aanvaller via een plugin toegang krijgt tot de backend van een WordPress site.
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2025-09-26. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of vermeldingen in de CISA KEV catalogus op dit moment. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de CSRF-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig.
Websites utilizing AR For WordPress, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with older, unpatched versions of the plugin are especially vulnerable. Administrators who haven't implemented robust CSRF protection measures are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin path ar-for-wordpressdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de AR For WordPress plugin naar versie 7.98.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die toegang hebben tot de plugin. Controleer de WordPress-installatie op verdachte bestanden of scripts die mogelijk zijn geüpload door een aanvaller. Implementeer een Web Application Firewall (WAF) met CSRF-bescherming om aanvallen te blokkeren. Na de upgrade, controleer de WordPress-installatie op ongewenste wijzigingen en bekijk de logs op verdachte activiteit.
Werk de AR For WordPress plugin bij naar de laatste beschikbare versie om de Cross-Site Request Forgery (CSRF) kwetsbaarheid te mitigeren. Controleer de updates in de WordPress repository of op de website van de ontwikkelaar. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en CSRF-bescherming, om de beveiliging van uw website te versterken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-60156 is a critical Cross-Site Request Forgery (CSRF) vulnerability in AR For WordPress allowing attackers to upload web shells, potentially leading to server compromise.
If you are using AR For WordPress versions 0.0.0 through 8.34, you are affected by this vulnerability. Upgrade immediately.
Upgrade AR For WordPress to version 7.98.1 or later to resolve this vulnerability. Consider implementing additional security measures like CSP if immediate upgrade isn't possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the official AR For WordPress website or plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.