Platform
wordpress
Component
debugger-troubleshooter
Opgelost in
1.3.3
CVE-2026-5130 is een Privilege Escalation kwetsbaarheid in de Debugger & Troubleshooter plugin voor WordPress. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om administrator-rechten te verkrijgen. Dit komt doordat de plugin de wpdebugtroubleshootsimulateuser cookie waarde direct accepteert als een gebruikers-ID zonder cryptografische validatie. Versies tot en met 1.3.2 zijn kwetsbaar. De kwetsbaarheid is verholpen in versie 1.4.0.
CVE-2026-5130 in de Debugger & Troubleshooter WordPress plugin maakt ongeautoriseerde privilege-escalatie mogelijk. Versies van de plugin tot en met 1.3.2 zijn kwetsbaar. Het probleem is dat de plugin de waarde van de cookie wpdebugtroubleshootsimulateuser direct accepteert als een gebruikers-ID, zonder enige cryptografische validatie of autorisatiecontroles. Dit stelt een ongeautoriseerde aanvaller in staat om elke gebruiker te imiteren door eenvoudig de cookie in te stellen op de gebruikers-ID van zijn doelwit. Deze kwetsbaarheid kan een aanvaller in staat stellen gevoelige informatie te openen, acties uit te voeren namens een andere gebruiker of zelfs de volledige controle over de WordPress-website over te nemen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een cookie te maken met de waarde van de gebruikers-ID van een beheerder of een andere gebruiker met verhoogde privileges. Deze cookie kan via JavaScript in de browser van de gebruiker worden ingesteld of via andere cookie-manipulatietechnieken. Zodra de cookie is ingesteld, gebruikt de plugin deze waarde om de huidige gebruiker te bepalen, waardoor de aanvaller in staat is als die gebruiker te handelen. De eenvoud waarmee deze kwetsbaarheid kan worden uitgebuit, maakt deze tot een aanzienlijk risico voor WordPress-websites.
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de Debugger & Troubleshooter plugin bij te werken naar versie 1.4.0 of hoger. Deze versie lost de fout op door een juiste validatie van de waarde van de cookie wpdebugtroubleshootsimulateuser te implementeren en de autorisatie te verifiëren voordat deze wordt gebruikt om de huidige gebruiker te bepalen. In de tussentijd wordt, als tijdelijke mitigatiemaatregel, aanbevolen om de plugin tijdelijk uit te schakelen als deze niet absoluut noodzakelijk is. Het is cruciaal om deze update zo snel mogelijk toe te passen om uw WordPress-website te beschermen tegen mogelijke aanvallen.
Update naar versie 1.4.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanval die een gebruiker met beperkte privileges in staat stelt toegang te krijgen tot functies of gegevens waar ze normaal gesproken geen toegang toe zouden hebben.
Controleer de versie van de Debugger & Troubleshooter plugin. Als deze ouder is dan 1.4.0, is deze kwetsbaar.
Schakel de plugin tijdelijk uit totdat u deze kunt bijwerken.
Zorg ervoor dat al uw plugins en de WordPress-core up-to-date zijn. Gebruik sterke wachtwoorden en overweeg de implementatie van een Web Application Firewall (WAF).
U kunt meer informatie vinden in de CVE-kwetsbaarheidsdatabase: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5130
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.