Platform
wordpress
Component
inquiry-cart
Opgelost in
3.4.3
3.4.3
De Inquiry Cart plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in alle versies tot en met 3.4.2. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-verificatie in de rdicsettings_page functie bij het verwerken van formulierinzendingen voor instellingen. Dit stelt ongeauthenticeerde aanvallers in staat om de instellingen van de plugin bij te werken, inclusief het injecteren van kwaadaardige scripts die worden opgeslagen en uitgevoerd in het beheerdersgebied via een vervalste aanvraag.
Een succesvolle exploitatie van deze XSRF-kwetsbaarheid stelt een aanvaller in staat om de instellingen van de Inquiry Cart plugin te wijzigen zonder de autorisatie van de beheerder. Dit kan leiden tot het injecteren van kwaadaardige scripts in de WordPress-omgeving. Deze scripts kunnen vervolgens worden uitgevoerd wanneer een beheerder de WordPress-dashboard bezoekt, waardoor de aanvaller potentieel controle kan krijgen over de website. De impact omvat data-exfiltratie, defacement van de website, en mogelijk verdere toegang tot het onderliggende systeem, afhankelijk van de privileges van de beheerder en de configuratie van de WordPress-installatie. Het is vergelijkbaar met andere XSRF-aanvallen waarbij een aanvaller een gebruiker misleidt om acties uit te voeren zonder hun medeweten.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid. De publicatie datum is 2026-04-21. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de XSRF-natuur van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren voor ervaren aanvallers. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database).
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Inquiry Cart plugin naar een beveiligde versie. Controleer de website van de plugin-ontwikkelaar of de WordPress plugin repository voor de meest recente versie. Indien een upgrade niet direct mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om XSRF-aanvallen te detecteren en te blokkeren. Configureer de WAF om te controleren op ontbrekende of ongeldige nonces in formulierinzendingen. Daarnaast kan het handhaven van een strikt toegangsbeheerbeleid en het vermijden van het klikken op verdachte links helpen om het risico te verminderen. Na de upgrade, controleer de plugin-instellingen om te bevestigen dat er geen ongewenste wijzigingen zijn aangebracht.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4090 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the Inquiry Cart WordPress plugin versions up to 3.4.2. It allows attackers to manipulate plugin settings via forged requests.
Yes, if you are using the Inquiry Cart plugin in WordPress and are running version 3.4.2 or earlier, you are vulnerable to this XSRF attack.
Upgrade the Inquiry Cart plugin to the latest version that addresses this vulnerability. If immediate upgrade is not possible, implement a WAF with XSRF protection.
While no widespread exploitation has been reported, the vulnerability's nature makes it easily exploitable, so active exploitation is possible.
Check the Inquiry Cart plugin's official website and WordPress plugin repository for the latest security updates and advisories related to CVE-2026-4090.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.