Platform
wordpress
Component
set-bulk-post-categories
Opgelost in
1.1.1
CVE-2026-1081 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Set Bulk Post Categories plugin voor WordPress. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om postcategorieën in bulk te wijzigen via een vervalste request, mits de aanvaller een sitebeheerder kan overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.1. Een patch is beschikbaar in de nieuwste versie van de plugin.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de postcategorieën van een WordPress-website. Dit kan de functionaliteit van de website verstoren, onjuiste informatie presenteren aan bezoekers en mogelijk leiden tot verdere exploitatie. De aanvaller kan bijvoorbeeld categorieën wijzigen om bezoekers naar kwaadaardige pagina's te leiden of om de weergave van content te manipuleren. De impact is vooral groot voor websites met een groot aantal posts en categorieën, omdat de aanvaller in staat is om deze in bulk te wijzigen.
Deze kwetsbaarheid is openbaar bekend en beschreven in de NVD-database. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar CSRF-aanvallen zijn een veelvoorkomend probleem in WordPress-plugins. De publicatie datum van de CVE is 2026-01-24.
WordPress sites utilizing the Set Bulk Post Categories plugin, particularly those with administrative accounts that are regularly targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks against others.
• wordpress / composer / npm:
grep -r 'bulk_update_categories' /var/www/html/wp-content/plugins/set-bulk-post-categories/• generic web:
curl -I https://example.com/wp-admin/admin-post.php?action=set_bulk_post_categories_update | grep -i 'referer'disclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Set Bulk Post Categories plugin naar de nieuwste versie, waar de CSRF-kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die CSRF-tokens valideert. Zorg ervoor dat alle WordPress-beheerders zich bewust zijn van het risico van phishing-aanvallen en vermijd het klikken op verdachte links. Controleer de WordPress-logboeken op verdachte requests.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1081 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Set Bulk Post Categories WordPress plugin, waardoor ongeauthenticeerde aanvallers postcategorieën kunnen wijzigen.
Ja, als u de Set Bulk Post Categories plugin gebruikt in versie 0.0.0 tot en met 1.1, bent u kwetsbaar voor deze CSRF-aanval.
Upgrade de Set Bulk Post Categories plugin naar de nieuwste versie. Indien dit niet mogelijk is, implementeer dan een WAF of andere mitigaties.
Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar CSRF-aanvallen zijn een veelvoorkomend probleem.
Raadpleeg de WordPress plugin directory voor updates en de NVD-database voor meer informatie: [https://nvd.nist.gov/vuln/detail/CVE-2026-1081](https://nvd.nist.gov/vuln/detail/CVE-2026-1081)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.