Platform
wordpress
Component
broken-link-notifier
Opgelost in
1.3.1
De Broken Link Notifier plugin voor WordPress is kwetsbaar voor Server-Side Request Forgery (SSRF). Deze kwetsbaarheid, met een CVSS-score van 7.2 (HIGH), stelt ongeauthenticeerde aanvallers in staat om webverzoeken naar willekeurige locaties te sturen, afkomstig van de webapplicatie. Dit geldt voor alle versies tot en met 1.3.0. Het is essentieel om de plugin te updaten of mitigaties te implementeren om dit risico te beperken.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services en bronnen blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat het ophalen van gevoelige configuratiegegevens, het uitvoeren van interne scans en mogelijk het manipuleren van interne systemen. De impact kan variëren afhankelijk van de interne architectuur en de gevoeligheid van de blootgestelde services. Een aanval kan vergelijkbaar zijn met scenario's waarbij interne API's of databases onbedoeld worden blootgesteld.
Deze kwetsbaarheid is openbaar gemaakt op 2025-07-11. Er is momenteel geen bevestigde melding van actieve exploitatie, maar de publicatie van de kwetsbaarheid maakt het waarschijnlijk dat aanvallers deze zullen proberen te exploiteren. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De ernst van de kwetsbaarheid is hoog gezien de potentiële impact.
WordPress sites using the Broken Link Notifier plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'ajax_blinks()' /var/www/html/wp-content/plugins/broken-link-notifier/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=bln_ajax_blinks&url=http://169.254.169.254/ # Attempt to trigger SSRF to internal IPdisclosure
Exploit Status
EPSS
1.58% (81% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Broken Link Notifier plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een directe upgrade niet mogelijk is, kunnen tijdelijke maatregelen worden genomen. Beperk de toegang tot de plugin via een Web Application Firewall (WAF) door verzoeken naar externe domeinen te blokkeren. Configureer de WordPress-server om externe verzoeken te beperken. Controleer de WordPress-logbestanden op verdachte verzoeken die afkomstig zijn van de plugin.
Werk de Broken Link Notifier plugin bij naar de laatste beschikbare versie om de Server-Side Request Forgery kwetsbaarheid te mitigeren. Deze update corrigeert de ajax_blinks() functie en voorkomt dat niet-geauthenticeerde aanvallers willekeurige webverzoeken vanuit de applicatie kunnen uitvoeren. Raadpleeg de plugin pagina op WordPress.org voor meer informatie en om de laatste versie te downloaden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-6851 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Broken Link Notifier WordPress plugin, waardoor aanvallers interne services kunnen bevragen.
Ja, als u de Broken Link Notifier plugin gebruikt in versie 0.0.0 tot en met 1.3.0, bent u kwetsbaar.
Update de Broken Link Notifier plugin naar een beveiligde versie. Indien dit niet mogelijk is, implementeer mitigaties zoals een WAF of beperk externe verzoeken.
Er zijn momenteel geen bevestigde meldingen van actieve exploitatie, maar de publicatie maakt misbruik waarschijnlijk.
Raadpleeg de WordPress security advisories op wordpress.org voor de meest recente informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.