Platform
wordpress
Component
app-builder
Opgelost in
5.5.11
De App Builder plugin voor WordPress, gebruikt voor het maken van native Android en iOS apps, vertoont een Privilege Escalation kwetsbaarheid. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde rechten te verkrijgen door een account aan te maken met de 'wcfm_vendor' rol, zonder de normale vendor goedkeuringsworkflow. De kwetsbaarheid treedt op in versies van 0.0.0 tot en met 5.5.10 en kan leiden tot ongeautoriseerde toegang tot de applicatie en de backend systemen. Een patch is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Privilege Escalation kwetsbaarheid stelt een aanvaller in staat om een account te creëren met de 'wcfm_vendor' rol, waardoor ze toegang kunnen krijgen tot functies en data die normaal gesproken alleen beschikbaar zijn voor geautoriseerde vendors. Dit kan leiden tot ongeautoriseerde wijzigingen in de applicatie, toegang tot gevoelige data, en mogelijk zelfs volledige controle over de backend systemen van de WordPress website. De impact is aanzienlijk, vooral voor websites die afhankelijk zijn van de App Builder plugin voor kritieke functionaliteit. Het is vergelijkbaar met scenario's waarbij een gebruiker ongeautoriseerd beheerdersrechten verkrijgt, wat de integriteit en vertrouwelijkheid van de applicatie in gevaar brengt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-21. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat het risico verhoogt. De KEV status is momenteel onbekend. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar het is waarschijnlijk dat aanvallers deze zullen proberen te exploiteren.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de App Builder plugin naar een versie die de kwetsbaarheid verhelpt. Controleer de officiële plugin repository voor de meest recente versie. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van nieuwe gebruikersaccounts of het implementeren van een strengere vendor goedkeuringsworkflow. WAF-regels kunnen worden ingesteld om verdachte aanvragen die proberen een 'wcfm_vendor' rol toe te wijzen te blokkeren. Controleer de WordPress logbestanden op verdachte activiteit en implementeer monitoring om pogingen tot exploitatie te detecteren.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-2375 is a vulnerability in the App Builder WordPress plugin allowing unauthenticated attackers to register with the 'wcfm_vendor' role, bypassing vendor approval and potentially gaining elevated privileges. It affects versions 0.0.0–5.5.10.
If you are using the App Builder WordPress plugin in versions 0.0.0 through 5.5.10, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the App Builder plugin. Until a patch is released, disable the plugin or manually review and approve all new user registrations.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation once a proof-of-concept is released. Monitor your systems closely.
Refer to the App Builder plugin developer's website or the WordPress plugin repository for official advisories and updates regarding CVE-2026-2375.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.