Platform
wordpress
Component
minify-html-markup
Opgelost in
2.1.13
De Minify HTML plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies tot en met 2.1.12. Deze kwetsbaarheid is te wijten aan het ontbreken of onjuiste nonce validatie in de 'minifyhtmlmenu_options' functie. Dit stelt ongeauthenticeerde aanvallers in staat om plugin instellingen te wijzigen via een vervalste request, mits ze een sitebeheerder kunnen overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid is verholpen in versie 2.1.13.
Een succesvolle XSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de Minify HTML plugin. Dit kan de functionaliteit van de website beïnvloeden, bijvoorbeeld door ongewenste HTML-minificatie instellingen toe te passen, wat de weergave van de website kan verstoren. In het ergste geval kan een aanvaller via deze route toegang krijgen tot gevoelige informatie of de website verder compromitteren, afhankelijk van de specifieke instellingen die gewijzigd kunnen worden. Het is belangrijk te benadrukken dat de aanvaller een sitebeheerder moet kunnen manipuleren om de aanval uit te voeren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild. De kwetsbaarheid is opgenomen in de NVD database. De EPSS score is nog niet bekend, maar gezien de openbare bekendheid en de relatief eenvoudige exploitatie, is een medium risico waarschijnlijk.
WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/• wordpress / composer / npm:
wp plugin list | grep minify-html• wordpress / composer / npm:
wp plugin update minify-htmldisclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Minify HTML plugin naar versie 2.1.13 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin. Als dit niet mogelijk is, implementeer dan strikte controle op de plugin instellingen en monitor de website op verdachte activiteit. Er zijn geen specifieke WAF-regels of configuratiewerkarounds bekend buiten de directe update. Na de upgrade, controleer de plugin instellingen om er zeker van te zijn dat deze correct zijn geconfigureerd.
Update naar versie 2.1.13, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3191 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Minify HTML WordPress plugin, waardoor ongeauthenticeerde aanvallers plugin instellingen kunnen wijzigen.
Ja, als u de Minify HTML plugin gebruikt in versie 0.0.0–2.1.12, bent u kwetsbaar voor deze XSRF-aanval.
Update de Minify HTML plugin naar versie 2.1.13 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment zijn er geen meldingen van actieve exploitatie, maar de kwetsbaarheid is openbaar bekend.
Raadpleeg de NVD database voor meer informatie: [https://nvd.nist.gov/vuln/detail/CVE-2026-3191](https://nvd.nist.gov/vuln/detail/CVE-2026-3191)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.