Platform
wordpress
Component
church-admin
Opgelost in
5.0.29
De Church Admin plugin voor WordPress vertoont een Server-Side Request Forgery (SSRF) kwetsbaarheid. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met Administrator-niveau toegang in staat om webverzoeken naar willekeurige locaties te sturen, waardoor interne services kunnen worden opgevraagd en mogelijk gewijzigd. De kwetsbaarheid is aanwezig in versies van 0.0.0 tot en met 5.0.28. Een patch is beschikbaar in versie 5.0.29.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne systemen en diensten blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het verkrijgen van gevoelige informatie, het uitvoeren van acties namens de applicatie of zelfs het compromitteren van onderliggende infrastructuur. De mogelijkheid om interne services te benaderen, opent de deur naar verdere aanvallen, zoals het verkrijgen van credentials of het uitvoeren van code op interne servers. De impact is verhoogd door het vereiste van Administrator-niveau toegang, wat de potentiële schade aanzienlijk kan vergroten.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-01-17. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-natuur van de kwetsbaarheid maakt het potentieel voor exploitatie aannemelijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Het is belangrijk om de plugin te patchen om verdere exploitatie te voorkomen.
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Church Admin plugin naar versie 5.0.29 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de plugin via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met onverwachte of potentieel schadelijke URL's te blokkeren. Controleer de WordPress server logs op verdachte verzoeken die afkomstig zijn van de plugin. Na de upgrade, controleer de plugin configuratie om te bevestigen dat de URL-validatie correct is geïmplementeerd.
Update naar versie 5.0.29, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-0682 is a Server-Side Request Forgery vulnerability in the Church Admin WordPress plugin, allowing authenticated administrators to make arbitrary web requests. It affects versions 0.0.0–5.0.28 and has a CVSS score of 2.2 (LOW).
You are affected if your WordPress site uses the Church Admin plugin and is running version 5.0.28 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Church Admin plugin to version 5.0.29 or later. If immediate upgrade is not possible, implement a WAF rule to block suspicious outbound requests.
Currently, there is no public evidence of active exploitation of CVE-2026-0682, but it's crucial to apply the patch to mitigate potential risks.
Refer to the official WordPress security advisory and the Church Admin plugin's website for the latest information and updates regarding CVE-2026-0682.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.