Platform
wordpress
Component
otm-accessibly
Opgelost in
3.0.4
3.0.4
De Accessibly plugin voor WordPress is kwetsbaar voor een Stored Cross-Site Scripting (XSS) aanval via de REST API. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de context van een andere gebruiker, wat kan leiden tot accountovername en data-exfiltratie. De kwetsbaarheid treedt op in versies van de plugin tot en met 3.0.3. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan aanzienlijke gevolgen hebben voor WordPress-websites die de Accessibly plugin gebruiken. Een aanvaller kan kwaadaardige JavaScript-code injecteren via de /otm-ac/v1/update-widget-options en /otm-ac/v1/update-app-config REST API endpoints. Omdat deze endpoints geen authenticatie vereisen, kan een aanvaller de code injecteren zonder in te loggen. De geïnjecteerde code wordt vervolgens uitgevoerd in de browser van de gebruiker die de pagina bezoekt, waardoor de aanvaller toegang kan krijgen tot cookies, sessiegegevens en andere gevoelige informatie. Dit kan leiden tot accountovername, data-exfiltratie en defacement van de website.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze kwetsbaarheid uitbuiten, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit voor kwaadwillenden. De kwetsbaarheid is gepubliceerd op 14 april 2026.
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-3643 is het upgraden van de Accessibly plugin naar de nieuwste versie, die de kwetsbaarheid verhelpt. Als een directe upgrade niet mogelijk is, kan het tijdelijk uitschakelen van de REST API endpoints /otm-ac/v1/update-widget-options en /otm-ac/v1/update-app-config via een WordPress filter een tijdelijke oplossing bieden. Controleer ook de WordPress-firewall (WAF) configuratie om te zien of deze endpoints kunnen worden geblokkeerd. Na de upgrade, controleer de WordPress-logboeken op verdachte activiteit rond de REST API endpoints.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.