Platform
wordpress
Component
mergado-marketing-pack
Opgelost in
4.2.2
CVE-2025-62089 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in MERGADO Mergado Pack. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker. De kwetsbaarheid treft versies van Mergado Pack tussen 0.0.0 en 4.2.1. Een update naar een nieuwere, beveiligde versie is de aanbevolen oplossing.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van Mergado Pack, het toevoegen of verwijderen van producten, of andere acties die de functionaliteit van de webshop beïnvloeden. Afhankelijk van de rechten van de gebruiker die wordt misbruikt, kan de impact variëren van beperkte configuratiewijzigingen tot volledige controle over de Mergado Pack installatie. Dit kan leiden tot dataverlies, reputatieschade en verstoring van de webshop-activiteiten. Het is cruciaal om deze kwetsbaarheid te patchen om verdere schade te voorkomen.
Er is momenteel geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is openbaar gemaakt op 31 december 2025. De ernst is beoordeeld als medium. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid, maar CSRF-aanvallen zijn over het algemeen relatief eenvoudig uit te voeren en vereisen geen geavanceerde vaardigheden.
WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.
• wordpress / composer / npm:
grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Mergado Pack naar een versie die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, implementeer dan strikte Content Security Policy (CSP) headers om de bronnen waar de browser scripts van mag laden te beperken. Daarnaast kan het gebruik van CSRF-tokens in gevoelige acties helpen om aanvallen te voorkomen. Controleer de Mergado Pack documentatie voor specifieke configuratie-instructies en beveiligingsaanbevelingen. Na de upgrade, verifieer de functionaliteit van Mergado Pack om er zeker van te zijn dat de update geen onverwachte problemen veroorzaakt.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62089 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in MERGADO Mergado Pack, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
U bent getroffen als u een versie van Mergado Pack gebruikt tussen 0.0.0 en 4.2.1.
Upgrade naar de nieuwste versie van Mergado Pack. Implementeer CSP headers en CSRF-tokens als tijdelijke mitigatie.
Er zijn momenteel geen bekende actieve exploitatiecampagnes, maar CSRF-aanvallen zijn relatief eenvoudig uit te voeren.
Raadpleeg de MERGADO website of hun beveiligingspagina voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.