Platform
wordpress
Component
sr-wp-minify-html
Opgelost in
2.2
De SR WP Minify HTML plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies van 0.0.0 tot en met 2.1. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-validatie in de srminifyhtml_theme() functie. Hierdoor kan een ongeauthenticeerde aanvaller plugin instellingen wijzigen door een sitebeheerder te misleiden om een actie uit te voeren, zoals het klikken op een link. Een update naar versie 2.2 lost dit probleem op.
Een succesvolle XSRF-aanval kan een aanvaller in staat stellen om de instellingen van de SR WP Minify HTML plugin te wijzigen zonder de authenticatie van de beheerder. Dit kan leiden tot ongewenste wijzigingen in de websiteconfiguratie, zoals het wijzigen van minificatie-instellingen of het toevoegen van kwaadaardige code. De impact is groter als de plugin wordt gebruikt op websites met gevoelige informatie, aangezien een aanvaller de configuratie kan manipuleren om toegang te krijgen tot of te wijzigen. Dit soort aanvallen kunnen ook gebruikt worden om andere plugins te compromitteren als de beheerder tegelijkertijd ingelogd is op andere kwetsbare plugins.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via het CVE-register. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de XSRF-aanval is een bekende techniek en het is waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De kwetsbaarheid is toegevoegd aan het CISA KEV catalogus, wat de urgentie van de mitigatie onderstreept. De publicatiedatum van de CVE is 2026-03-21.
Websites using the SR WP Minify HTML plugin, particularly those with shared hosting environments or lacking robust administrator access controls, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'sr_minify_html_theme()' /var/www/html/wp-content/plugins/sr-wp-minify-html/ | grep -i 'nonce'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=sr_minify_html_theme&nonce=invalid | grep -i '200 OK'disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de SR WP Minify HTML plugin naar versie 2.2 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. Controleer de WordPress-logboeken op verdachte verzoeken die wijzigingen in de plugininstellingen proberen aan te brengen. Implementeer een Web Application Firewall (WAF) met XSRF-bescherming om verdachte verzoeken te blokkeren. Zorg ervoor dat alle WordPress-beheerders zich bewust zijn van de risico's van phishing-aanvallen en het klikken op verdachte links.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1392 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de SR WP Minify HTML WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
Ja, als u de SR WP Minify HTML plugin gebruikt in versie 0.0.0 tot en met 2.1, bent u kwetsbaar voor deze XSRF-aanval.
Upgrade de SR WP Minify HTML plugin naar versie 2.2 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen publieke exploits bekend, maar de kwetsbaarheid is openbaar bekend en het is waarschijnlijk dat er in de toekomst exploits beschikbaar komen.
Raadpleeg de WordPress plugin directory of de website van de plugin ontwikkelaar voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.