Platform
wordpress
Component
wp-user-avatar
Opgelost in
4.16.12
De ProfilePress plugin voor WordPress is kwetsbaar voor willekeurige shortcode-uitvoering in versies tot en met 4.16.11. Deze kwetsbaarheid ontstaat doordat de plugin factuurveldwaarden van gebruikers niet voldoende valideert voordat deze in shortcode-templates worden gebruikt. Een succesvolle exploitatie kan leiden tot ongeautoriseerde code-uitvoering op de WordPress website, wat ernstige gevolgen kan hebben voor de beveiliging en integriteit van de data.
Een aanvaller kan deze kwetsbaarheid misbruiken om willekeurige shortcodes uit te voeren op de WordPress website. Dit kan leiden tot het injecteren van kwaadaardige code, het wijzigen van website-inhoud, het stelen van gevoelige informatie, of zelfs het overnemen van de volledige website. De impact is aanzienlijk, omdat de kwetsbaarheid toegankelijk is voor niet-geauthenticeerde aanvallers, wat betekent dat iedereen met toegang tot de website deze kan misbruiken. De mogelijkheid tot het injecteren van shortcodes opent de deur naar diverse aanvallen, waaronder het uitvoeren van shell-commando's of het installeren van malware.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-04. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat de kans op misbruik vergroot. Het is aan te raden om de website zo snel mogelijk te patchen om verdere exploitatie te voorkomen. De ernst van de kwetsbaarheid is beoordeeld als medium, wat wijst op een redelijke kans op misbruik.
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de ProfilePress plugin naar versie 4.16.12 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de factuurvelden in de checkout-procedure. Controleer ook de WordPress website op verdachte shortcodes of ongebruikelijke bestanden. Implementeer een Web Application Firewall (WAF) met regels die shortcode-injectie proberen te detecteren en te blokkeren. Monitor de website logbestanden op pogingen tot shortcode-injectie.
Update naar versie 4.16.12, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3309 is een kwetsbaarheid in de ProfilePress plugin voor WordPress waardoor ongeautoriseerde aanvallers willekeurige shortcodes kunnen uitvoeren.
U bent getroffen als u de ProfilePress plugin gebruikt in versie 0.0.0–4.16.11.
Upgrade de ProfilePress plugin naar versie 4.16.12 of hoger.
Hoewel er momenteel geen publieke exploits zijn, is de kwetsbaarheid relatief eenvoudig te exploiteren en de kans op misbruik is aanwezig.
Raadpleeg de ProfilePress website of de WordPress plugin repository voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.