Platform
wordpress
Component
add-polylang-support-for-customizer
Opgelost in
1.4.6
CVE-2026-22462 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Add Polylang support for Customizer'. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een ingelogde gebruiker. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.4.5. Een update naar een nieuwere, beveiligde versie is vereist om dit risico te mitigeren.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de WordPress website, zoals het aanpassen van taalinstellingen of het toevoegen/verwijderen van content. De impact is afhankelijk van de rechten van de gebruiker waarvan de sessie wordt misbruikt. In het ergste geval, kan een aanvaller met administratorrechten de volledige website overnemen. Deze kwetsbaarheid is vergelijkbaar met andere CSRF-aanvallen, waarbij de aanvaller een kwaadaardige link of script gebruikt om de gebruiker onbewust een actie te laten uitvoeren.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 22 januari 2026. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kans op actieve exploitatie is momenteel als medium ingeschat, gezien de wijdverspreide installatie van WordPress plugins.
WordPress sites utilizing the Add Polylang support for Customizer plugin, particularly those with users who have administrative privileges or frequently interact with the plugin's settings, are at risk. Shared hosting environments where multiple users share the same WordPress installation are also more vulnerable.
• wordpress / composer / npm:
grep -r 'add_polylang_support_for_customizer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep add_polylang_support_for_customizer• wordpress / composer / npm:
wp plugin update --alldisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de 'Add Polylang support for Customizer' plugin naar een versie waarin de CSRF-kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Content Security Policy (CSP) headers om de risico's te beperken. Daarnaast kan het gebruik van een Web Application Firewall (WAF) helpen om kwaadaardige verzoeken te detecteren en te blokkeren. Controleer de plugin configuratie op onnodige functionaliteit die misbruikt kan worden.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22462 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin 'Add Polylang support for Customizer' die ongeautoriseerde acties mogelijk maakt.
Ja, als u de 'Add Polylang support for Customizer' plugin gebruikt in versie 0 tot en met 1.4.5, dan bent u getroffen door deze kwetsbaarheid.
Upgrade de 'Add Polylang support for Customizer' plugin naar de meest recente versie om de kwetsbaarheid te verhelpen.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren.
Controleer de website van de plugin ontwikkelaar of de WordPress plugin directory voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.