Platform
wordpress
Component
wp-email-capture
Opgelost in
3.12.6
CVE-2025-68529 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP Email Capture WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker. De kwetsbaarheid treft versies van WP Email Capture van 0.0.0 tot en met 3.12.5. Een patch is beschikbaar in versie 3.12.6.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de WP Email Capture plugin, het toevoegen van kwaadaardige e-mailadressen aan de mailinglijst, of zelfs het uitvoeren van andere acties die de gebruiker normaal zou uitvoeren. Dit kan leiden tot spam, phishing-aanvallen of andere vormen van misbruik. De impact is groter voor gebruikers met beheerdersrechten, omdat een aanvaller dan potentieel volledige controle over de plugin kan verkrijgen. De kwetsbaarheid kan worden uitgebuit via een kwaadaardige website of e-mail die de gebruiker verleidt om een actie uit te voeren zonder dat ze dit beseffen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-12-24. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-natuur van de kwetsbaarheid maakt het relatief eenvoudig uit te buiten. De kans op actieve exploitatie is momenteel als 'medium' ingeschat, aangezien CSRF-aanvallen relatief eenvoudig te implementeren zijn.
Websites using the WP Email Capture plugin, particularly those with user accounts that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'wp_email_capture_process_form' /var/www/html/wp-content/plugins/wp-email-capture/• wordpress / composer / npm:
wp plugin list --status=active | grep wp-email-capture• wordpress / composer / npm:
wp plugin update wp-email-capture --version=3.12.6disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP Email Capture plugin naar versie 3.12.6 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van CSRF-tokens in de plugin-code, hoewel dit een complexe oplossing is. Tijdelijk kan een Web Application Firewall (WAF) worden geconfigureerd om CSRF-aanvallen te detecteren en te blokkeren. Zorg ervoor dat gebruikers zich bewust zijn van de risico's van het klikken op verdachte links en het invullen van formulieren op onbekende websites.
Update naar versie 3.12.6, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68529 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP Email Capture plugin, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u versie 0.0.0 tot en met 3.12.5 van WP Email Capture gebruikt, bent u kwetsbaar.
Upgrade WP Email Capture naar versie 3.12.6 of hoger om de kwetsbaarheid te verhelpen.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kans op exploitatie is als 'medium' ingeschat.
Raadpleeg de officiële website van WP Email Capture of de WordPress plugin directory voor het meest recente advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.