Platform
wordpress
Component
quran-translations-by-edc
Opgelost in
1.7.1
1.7.1
De Quran Translations plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in alle versies tot en met 1.7. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-validatie in de quranplaylistoptions() functie. Dit stelt ongeauthenticeerde aanvallers in staat om plugin instellingen te wijzigen, wat kan leiden tot ongewenste functionaliteit en mogelijke beveiligingsrisico's. Het is belangrijk om deze kwetsbaarheid te verhelpen om de integriteit van uw WordPress website te waarborgen.
Een succesvolle XSRF-aanval kan een aanvaller in staat stellen om plugin instellingen te wijzigen alsof ze een geautoriseerde gebruiker zijn. Dit kan leiden tot het inschakelen of uitschakelen van functies zoals PDF-, RSS-, podcast- en mediaplayer links. Hoewel de directe impact mogelijk beperkt lijkt, kan het misbruik van deze instellingen leiden tot ongewenste content of zelfs de mogelijkheid om kwaadaardige code in te voegen via de plugin. De kwetsbaarheid kan worden uitgebuit via een kwaadaardige website die een POST-verzoek naar de plugin instellingen stuurt, waardoor de aanvaller controle krijgt over de plugin configuratie.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-07. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de XSRF-natuur van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kans op actieve exploitatie is momenteel laag, maar de eenvoud van de exploitatie maakt het een potentieel doelwit. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
WordPress websites utilizing the Quran Translations plugin, particularly those running versions 1.7 or earlier, are at risk. Shared hosting environments where plugin updates are not consistently managed are also at increased risk, as are sites with weak access controls to the WordPress admin panel.
• wordpress / composer / npm:
grep -r 'quran_playlist_options' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep quran-translations• wordpress / composer / npm:
wp plugin list | grep quran-translationsdisclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Quran Translations plugin naar een beveiligde versie zodra deze beschikbaar is. Totdat een patch beschikbaar is, kunt u tijdelijke mitigaties toepassen. Implementeer strikte Content Security Policy (CSP) headers om XSRF-aanvallen te beperken. Controleer de plugin instellingen regelmatig op ongewijzigde wijzigingen. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte POST-verzoeken te blokkeren. Zorg ervoor dat alle WordPress gebruikers sterke wachtwoorden gebruiken en tweefactorauthenticatie inschakelen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4141 is a Cross-Site Request Forgery vulnerability in the Quran Translations WordPress plugin, allowing attackers to modify settings without authentication in versions up to 1.7.
You are affected if your WordPress site uses the Quran Translations plugin version 1.7 or earlier. Upgrade to a patched version to resolve the issue.
Upgrade the Quran Translations plugin to a version newer than 1.7. Consider WAF rules and restricted access to the settings page as temporary mitigations.
There is currently no evidence of active exploitation campaigns targeting CVE-2026-4141.
Check the official Quran Translations plugin page on WordPress.org for updates and security advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.