Platform
wordpress
Component
rencontre
Opgelost in
3.13.8
CVE-2025-67534 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Rencontre WordPress plugin. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om Stored XSS uit te voeren, wat kan leiden tot het injecteren van kwaadaardige scripts in de website. De kwetsbaarheid treft versies van Rencontre van 0.0.0 tot en met 3.13.7. Een fix is beschikbaar in versie 3.13.8.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige JavaScript-code op te slaan in de Rencontre plugin. Wanneer een geautoriseerde gebruiker de website bezoekt, wordt deze opgeslagen code uitgevoerd, wat resulteert in een Stored XSS aanval. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, het wijzigen van website-inhoud of het uitvoeren van andere schadelijke acties in de context van de geautoriseerde gebruiker. De impact is aanzienlijk, aangezien een aanvaller de controle kan overnemen van een legitieme gebruiker.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-12-09. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF/Stored XSS combinatie is een bekende aanvalsvector. De KEV status is momenteel onbekend. De CVSS score van 7.1 (HIGH) duidt op een aanzienlijk risico.
WordPress websites utilizing the Rencontre plugin, particularly those with user roles that have administrative privileges, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'rencontre/plugin.php' /var/www/html/
wp plugin list | grep rencontre• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/rencontre/plugin.php | grep -i '3.13.7'disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-67534 is het upgraden van de Rencontre WordPress plugin naar versie 3.13.8 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte Content Security Policy (CSP) headers om de uitvoering van inline scripts te beperken. Daarnaast kan het implementeren van CSRF-bescherming op kritieke acties binnen de plugin helpen om de impact van de kwetsbaarheid te verminderen. Na de upgrade, controleer de plugin instellingen en zorg ervoor dat alle functionaliteit correct werkt.
Update naar versie 3.13.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-67534 is a Cross-Site Request Forgery (CSRF) vulnerability in the Rencontre WordPress plugin allowing Stored XSS. It affects versions 0.0.0–3.13.7.
You are affected if your WordPress site uses the Rencontre plugin and is running version 3.13.7 or earlier. Upgrade to 3.13.8 to resolve the issue.
Upgrade the Rencontre WordPress plugin to version 3.13.8 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants immediate attention and remediation.
Refer to the official Rencontre plugin documentation and WordPress security announcements for the latest advisory and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.