Platform
wordpress
Component
legacy-admin
Opgelost in
9.5.1
CVE-2026-22524 beschrijft een 'Improper Neutralization of Input During Web Page Generation' kwetsbaarheid, specifiek een Reflected Cross-Site Scripting (XSS) probleem in ThemePassion Legacy Admin. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in te voegen via webpagina's, wat kan leiden tot het compromitteren van gebruikersaccounts en het stelen van gevoelige data. De kwetsbaarheid treft versies van Legacy Admin van 0.0.0 tot en met 9.5. Een patch is beschikbaar.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript-code injecteren in een webpagina die door Legacy Admin wordt gegenereerd. Wanneer een gebruiker deze pagina bezoekt, wordt de code uitgevoerd in de context van de gebruiker, waardoor de aanvaller mogelijk toegang kan krijgen tot sessiecookies, gebruikersgegevens en andere gevoelige informatie. Dit kan leiden tot accountovername, data-exfiltratie en verdere aanvallen op het systeem. De impact is vergelijkbaar met andere XSS kwetsbaarheden, waarbij de aanvaller de controle kan overnemen over de gebruikerservaring en toegang kan krijgen tot gevoelige bronnen.
CVE-2026-22524 werd publiekelijk bekendgemaakt op 2026-03-25. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die specifiek deze kwetsbaarheid uitbuiten. Het is echter belangrijk om te beseffen dat XSS-kwetsbaarheden vaak doelwit zijn van aanvallen, en het is raadzaam om de kwetsbaarheid zo snel mogelijk te patchen. De KEV status is momenteel onbekend.
Administrators and users of websites utilizing ThemePassion Legacy Admin are at risk. Specifically, those using older, unpatched versions (0.0.0 through 9.5) are highly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'Legacy Admin' /var/www/html/wp-content/plugins/
wp plugin list | grep Legacy Admin• generic web:
curl -I 'https://your-website.com/admin/index.php?param=<script>alert(1)</script>' | grep Content-Typedisclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-22524 is het upgraden van ThemePassion Legacy Admin naar een beveiligde versie. Controleer de website van ThemePassion voor de meest recente versie met de patch. Indien een upgrade momenteel niet mogelijk is, kan een Content Security Policy (CSP) worden geïmplementeerd om de uitvoering van inline scripts te beperken en de impact van de kwetsbaarheid te verminderen. Daarnaast kan het valideren en ontsmetten van alle gebruikersinvoer helpen om de kans op succesvolle XSS-aanvallen te verkleinen. Na de upgrade, controleer de logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de webapplicatie met bekende XSS payloads.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22524 is a Reflected XSS vulnerability affecting ThemePassion Legacy Admin versions 0.0.0 through 9.5, allowing attackers to inject malicious scripts via crafted URLs.
If you are using ThemePassion Legacy Admin version 0.0.0 through 9.5, you are potentially affected. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of ThemePassion Legacy Admin. Check the vendor's website for the latest version.
While no active exploitation has been confirmed, the ease of exploitation suggests potential for future attacks. Monitor security advisories and logs.
Refer to the ThemePassion website and WordPress plugin repository for official advisories and updates related to CVE-2026-22524.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.