Platform
wordpress
Component
newsletter
Opgelost in
9.1.1
De Newsletter WordPress plugin, gebruikt voor het versturen van nieuwsbrieven, vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om abonnementen op nieuwsbrieven op te zeggen door middel van een vervalst verzoek, mits ze een ingelogde gebruiker kunnen manipuleren om een actie uit te voeren. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 9.1.0. Een fix is beschikbaar in versie 9.1.1.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde opzegging van abonnementen op nieuwsbrieven. Dit kan de communicatie met klanten verstoren en de effectiviteit van marketingcampagnes verminderen. Hoewel de impact niet direct kritiek is (geen data-exfiltratie of RCE), kan het misbruik van deze kwetsbaarheid leiden tot reputatieschade en verlies van vertrouwen bij gebruikers. De aanval vereist dat een aanvaller een ingelogde gebruiker kan manipuleren, wat de complexiteit van de aanval enigszins beperkt, maar maakt het nog steeds een aanzienlijk risico, vooral in omgevingen met veel gebruikers en gedeelde accounts.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de aanval maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De publicatiedatum van de CVE is 2026-01-20. Er zijn geen KEV-listings bekend op het moment van schrijven.
WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/• wordpress / composer / npm:
wp plugin list | grep newsletter• wordpress / composer / npm:
wp plugin update newsletter --all• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Newsletter WordPress plugin naar versie 9.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van strikte Content Security Policy (CSP) headers om CSRF-aanvallen te beperken. Controleer ook de WordPress plugin configuratie op onnodige privileges. Na de upgrade, verifieer de fix door te proberen een abonnement op te zeggen via een externe website – dit zou moeten mislukken.
Update naar versie 9.1.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1051 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Newsletter WordPress plugin, waardoor ongeauthenticeerde aanvallers abonnementen op nieuwsbrieven kunnen opzeggen.
Ja, als u de Newsletter plugin gebruikt in versie 0.0.0 tot en met 9.1.0, dan bent u getroffen door deze kwetsbaarheid.
Update de Newsletter WordPress plugin naar versie 9.1.1 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen meldingen van actieve exploitatie, maar de lage complexiteit van de aanval maakt misbruik waarschijnlijk.
Raadpleeg de officiële website van de Newsletter plugin of de WordPress plugin directory voor de meest recente informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.