Platform
wordpress
Component
performance-monitor
Opgelost in
1.0.7
1.0.7
De Performance Monitor plugin voor WordPress vertoont een Server-Side Request Forgery (SSRF) kwetsbaarheid. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om webverzoeken naar willekeurige locaties te sturen, inclusief interne services, via het '/wp-json/performance-monitor/v1/curl_data' REST API endpoint. Versies van de plugin tot en met 1.0.6 zijn kwetsbaar. Een patch is beschikbaar; upgrade uw plugin om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Door chaining met andere diensten, zoals Redis, kan een aanvaller potentieel Remote Code Execution (RCE) bereiken. De mogelijkheid om willekeurige webverzoeken te initiëren, stelt aanvallers in staat om gevoelige informatie te stelen, configuraties te wijzigen of zelfs de volledige WordPress-installatie over te nemen. De impact is vergelijkbaar met andere SSRF kwetsbaarheden die misbruikt zijn om interne netwerken te scannen en gevoelige gegevens te extraheren.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-20. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de SSRF aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De CVSS score van 7.2 (HIGH) duidt op een significant risico. Het is onwaarschijnlijk dat deze kwetsbaarheid momenteel actief wordt misbruikt, maar de potentie voor exploitatie is aanwezig.
WordPress sites utilizing the Performance Monitor plugin, particularly those with internal services like Redis exposed or accessible from the web, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider may be delayed in receiving the fix, increasing their exposure window.
• wordpress / composer / npm:
grep -r 'wp-json/performance-monitor/v1/curl_data' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-json/performance-monitor/v1/curl_data• wordpress / composer / npm:
wp plugin list | grep 'Performance Monitor'• wordpress / composer / npm:
wp plugin status | grep 'Performance Monitor'disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Performance Monitor plugin naar een beveiligde versie. Controleer de WordPress plugin repository voor de meest recente versie. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, bekende stabiele versie. Als een upgrade niet direct mogelijk is, implementeer dan een Web Application Firewall (WAF) om verzoeken naar het '/wp-json/performance-monitor/v1/curl_data' endpoint te blokkeren of te filteren. Configureer de WAF om verzoeken met verdachte URL's of protocollen (zoals Gopher) te blokkeren. Monitor de WordPress logs op ongebruikelijke verzoeken die afkomstig zijn van de Performance Monitor plugin.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1648 is a Server-Side Request Forgery vulnerability in the Performance Monitor WordPress plugin, allowing attackers to make arbitrary web requests.
You are affected if you are using the Performance Monitor plugin in versions 1.0.6 or earlier. Upgrade as soon as a patch is available.
Upgrade the plugin to a patched version. Until a patch is released, use a WAF to restrict access to the vulnerable endpoint and validate input.
While no active exploitation has been confirmed, the vulnerability's nature and potential impact make it a likely target for attackers.
Check the Performance Monitor plugin's official website or WordPress plugin repository for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.