Platform
wordpress
Component
robotstxt-rewrite
Opgelost in
1.6.2
Deze kwetsbaarheid betreft een Cross-Site Request Forgery (CSRF) in de Robots.txt rewrite WordPress plugin. Een CSRF-aanval maakt het mogelijk voor een aanvaller om namens een geauthenticeerde gebruiker acties uit te voeren zonder hun medeweten. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.6.1. Een fix is beschikbaar in versie 1.6.2.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen aan de robots.txt-configuratie van een WordPress-website. Dit kan de indexeerbaarheid van de website beïnvloeden, zoekmachine-optimalisatie (SEO) schaden en mogelijk gevoelige informatie blootleggen. Een aanvaller kan bijvoorbeeld de robots.txt manipuleren om zoekmachines te verbieden de website te crawlen, waardoor de website effectief uit zoekresultaten verdwijnt. Daarnaast kan een aanvaller, afhankelijk van de configuratie en rechten van de gebruiker, andere instellingen wijzigen die de functionaliteit van de website beïnvloeden.
Op dit moment zijn er geen openbare exploitatie-details bekend. De kwetsbaarheid is openbaar gemaakt op 31 december 2025. Het is aan te raden om de plugin zo snel mogelijk te patchen om het risico te minimaliseren. Er is geen vermelding op de CISA KEV catalogus.
Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite• generic web:
curl -I https://example.com/robots.txt | grep -i 'allow:'disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Robots.txt rewrite plugin naar versie 1.6.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-tokens in kritieke formulieren of het gebruik van een Web Application Firewall (WAF) om CSRF-aanvallen te blokkeren. Controleer de robots.txt-configuratie regelmatig op onverwachte wijzigingen. Na de upgrade, bevestig de correcte werking van de plugin door de robots.txt te controleren en te verifiëren dat deze de gewenste regels bevat.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62148 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Robots.txt rewrite WordPress plugin, waardoor aanvallers ongeautoriseerde acties kunnen uitvoeren.
Ja, als u de Robots.txt rewrite plugin gebruikt in versie 0.0.0 tot en met 1.6.1, bent u kwetsbaar voor deze CSRF-aanval.
Update de Robots.txt rewrite plugin naar versie 1.6.2 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment zijn er geen openbare exploitatie-details bekend, maar het is aan te raden om de plugin zo snel mogelijk te patchen.
Raadpleeg de WordPress plugin directory en de website van de plugin-ontwikkelaar voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.