Platform
wordpress
Component
conditional-menus
Opgelost in
1.2.7
De Conditional Menus plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (CSRF) in versies 1.0.0 tot en met 1.2.6. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-validatie in de 'save_options' functie. Dit stelt ongeauthenticeerde aanvallers in staat om conditional menu-toewijzingen te wijzigen via een vervalste request, mits ze een sitebeheerder kunnen overtuigen om een actie uit te voeren, zoals het klikken op een link. Een update naar versie 1.2.7 is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van conditional menus. Een aanvaller kan bijvoorbeeld menu-items toevoegen, verwijderen of verplaatsen, wat de navigatie van de website kan verstoren en mogelijk toegang kan verlenen tot gevoelige informatie of functies. De impact is groter wanneer de sitebeheerder met privileges werkt, aangezien de aanvaller dan de rechten van die beheerder kan misbruiken. Dit kan leiden tot een compromittering van de gehele WordPress-installatie en de daaraan gekoppelde data.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is waarschijnlijk dat aanvallers deze zullen proberen te exploiteren. De kwetsbaarheid is opgenomen in de NVD database en gepubliceerd op 2026-03-26. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
WordPress sites utilizing the Conditional Menus plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'save_options' /var/www/html/wp-content/plugins/conditional-menus/• generic web:
curl -I https://example.com/wp-admin/admin-ajax.php?action=conditional_menus_save_options&... # Check for missing noncedisclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Conditional Menus plugin naar versie 1.2.7 of hoger. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om CSRF-tokens te valideren en kwaadaardige requests te blokkeren. Controleer de WordPress-logboeken op verdachte requests die de 'save_options' functie aanroepen. Implementeer strikte toegangscontroles en vereis sterke wachtwoorden voor alle WordPress-gebruikers om het risico op misbruik te verminderen.
Update naar versie 1.2.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1032 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Conditional Menus WordPress plugin, waardoor ongeautoriseerde wijzigingen aan menu-instellingen mogelijk zijn.
Ja, als u de Conditional Menus plugin gebruikt in versie 1.0.0 tot en met 1.2.6, bent u kwetsbaar voor deze CSRF-aanval.
Upgrade de Conditional Menus plugin naar versie 1.2.7 of hoger om deze kwetsbaarheid te verhelpen. Implementeer een WAF als tijdelijke maatregel.
Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is waarschijnlijk dat aanvallers deze zullen proberen te exploiteren.
Raadpleeg de WordPress-website of de Conditional Menus plugin-pagina voor de officiële advisory en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.