Platform
wordpress
Component
add-custom-fields-to-media
Opgelost in
2.0.4
De Add Custom Fields to Media plugin voor WordPress vertoont een Cross-Site Request Forgery (XSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om, via een vervalst verzoek, willekeurige aangepaste mediavelden te verwijderen. De kwetsbaarheid is aanwezig in versies van 0.0.0 tot en met 2.0.3. Een update naar versie 2.0.4 lost dit probleem op.
Een succesvolle exploitatie van deze XSRF kwetsbaarheid stelt een aanvaller in staat om de configuratie van de Add Custom Fields to Media plugin te wijzigen door aangepaste mediavelden te verwijderen. Dit kan leiden tot verlies van data en functionaliteit binnen de WordPress website. Aangezien de kwetsbaarheid XSRF is, vereist het een actieve sessie van een gebruiker met voldoende rechten om de velden te verwijderen. De impact is beperkt tot de functionaliteit die afhankelijk is van de verwijderde aangepaste mediavelden.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-19. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits beschikbaar, maar de XSRF aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De kans op actieve exploitatie is momenteel laag, maar de kwetsbaarheid is wel bekend en kan in de toekomst worden misbruikt.
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Add Custom Fields to Media plugin naar versie 2.0.4 of hoger. Indien een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) met XSRF-bescherming helpen om aanvallen te blokkeren. Controleer ook de WordPress website op verdachte verzoeken en overweeg het beperken van de rechten van gebruikers om onnodige toegang tot het bewerken van mediavelden te voorkomen. Na de upgrade, controleer de mediavelden om er zeker van te zijn dat er geen onverwachte wijzigingen zijn opgetreden.
Update naar versie 2.0.4, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4068 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Add Custom Fields to Media plugin voor WordPress, waardoor een aanvaller aangepaste mediavelden kan verwijderen.
Ja, als u de Add Custom Fields to Media plugin gebruikt in versie 0.0.0 tot en met 2.0.3, bent u kwetsbaar voor deze XSRF kwetsbaarheid.
Update de Add Custom Fields to Media plugin naar versie 2.0.4 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kwetsbaarheid is openbaar bekend en kan in de toekomst worden misbruikt.
Raadpleeg de plugin documentatie of de WordPress plugin directory voor de officiële advisory en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.