Platform
wordpress
Component
traderunner
Opgelost in
3.14.1
Deze kwetsbaarheid betreft een Cross-Site Request Forgery (CSRF) in de Trade Runner applicatie. Een CSRF-aanval maakt het mogelijk voor een aanvaller om, zonder de kennis van de gebruiker, acties uit te voeren in de context van die gebruiker. Dit treft Trade Runner versies van 0.0.0 tot en met 3.14. Een upgrade naar een beveiligde versie is noodzakelijk om deze kwetsbaarheid te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in gebruikersaccounts, transacties of andere gevoelige gegevens binnen de Trade Runner applicatie. De aanvaller kan bijvoorbeeld een gebruiker dwingen om een ongewenste transactie uit te voeren of de configuratie van de applicatie te wijzigen. De impact is afhankelijk van de privileges van de gebruiker die wordt aangevallen en de functionaliteit die via CSRF kan worden misbruikt. Het is cruciaal om te voorkomen dat een aanvaller controle krijgt over de applicatie via deze kwetsbaarheid.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-12-24. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar CSRF-aanvallen zijn een veelvoorkomend risico. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op dit moment, maar de complexiteit van CSRF-exploitatie is relatief laag, wat het risico verhoogt.
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Trade Runner naar een versie waarin deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van CSRF-tokens in alle gevoelige acties binnen de applicatie. Dit kan worden bereikt door het toevoegen van een uniek, onvoorspelbaar token aan elk formulier en het valideren van dit token bij het verwerken van de formulierinzending. Zorg ervoor dat alle gebruikerssessies correct worden beheerd en dat er geen gevoelige informatie wordt blootgesteld via URL's. Na de upgrade, controleer de applicatielogs op verdachte activiteit.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en implementeer mitigaties op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-67625 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in Trade Runner, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren namens een geauthenticeerde gebruiker.
Ja, als u Trade Runner gebruikt in versie 0.0.0 tot en met 3.14, bent u getroffen door deze kwetsbaarheid.
Upgrade Trade Runner naar een beveiligde versie. Indien dit niet mogelijk is, implementeer dan CSRF-tokens in alle gevoelige acties.
Er zijn momenteel geen bekende actieve campagnes, maar CSRF-aanvallen zijn een veelvoorkomend risico.
Raadpleeg de Trade Runner website of de WordPress plugin repository voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.