Platform
wordpress
Component
dx-unanswered-comments
Opgelost in
1.7.1
1.7.1
De DX Unanswered Comments plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies tot en met 1.7. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-validatie in het instellingenformulier van de plugin. Hierdoor kunnen ongeauthenticeerde aanvallers plugin instellingen wijzigen via een vervalste request, mits ze een beheerder kunnen overtuigen om een actie uit te voeren.
Een succesvolle XSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de plugin instellingen, zoals de lijst met auteurs (dxucauthorslist) en het aantal reacties (dxuccommentcount). Dit kan de functionaliteit van de website beïnvloeden en mogelijk leiden tot onbedoelde acties of misbruik van de plugin. De impact is groter wanneer de plugin gebruikt wordt om kritieke commentaarbeheer taken uit te voeren, omdat een aanvaller dan de commentaarstroom kan manipuleren of spam kan verspreiden. Het is vergelijkbaar met andere XSRF kwetsbaarheden waarbij een aanvaller een gebruiker kan misleiden om acties uit te voeren zonder hun medeweten.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-04-21. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits beschikbaar, maar de kwetsbaarheid is relatief eenvoudig te exploiteren. De EPSS score is waarschijnlijk medium, aangezien XSRF-aanvallen vaak via phishing-campagnes worden uitgevoerd. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database).
WordPress websites utilizing the DX Unanswered Comments plugin, particularly those with administrative accounts that are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'dxuc-unanswered-comments-admin-page.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "DX Unanswered Comments"• wordpress / composer / npm:
wp plugin update --all• generic web: Inspect the plugin's admin page source code for missing nonce attributes in forms.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de DX Unanswered Comments plugin naar de nieuwste versie, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van beheerders of het implementeren van een Web Application Firewall (WAF) met XSRF-bescherming. Controleer de WordPress plugin directory op de meest recente versie. Na de upgrade, controleer de plugin instellingen om te bevestigen dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4138 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the DX Unanswered Comments WordPress plugin versions up to 1.7, allowing attackers to modify plugin settings via forged requests.
You are affected if your WordPress site uses the DX Unanswered Comments plugin and is running version 1.7 or earlier. Upgrade to a patched version as soon as possible.
Upgrade the DX Unanswered Comments plugin to a version that addresses the nonce validation issue. A specific fixed version is not provided, so monitor for updates.
While no active exploitation is confirmed, the vulnerability is relatively easy to exploit and requires only social engineering, making it a potential target.
Refer to the WordPress plugin repository and the DX Unanswered Comments plugin developer's website for updates and advisories related to CVE-2026-4138.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.