Platform
wordpress
Component
google-pagerank-display
Opgelost in
1.4.1
1.4.1
De Google PageRank Display plugin voor WordPress is kwetsbaar voor Cross-Site Request Forgery (XSRF) in versies tot en met 1.4. Deze kwetsbaarheid is te wijten aan het ontbreken van nonce-validatie in de gpdisplay_option() functie, die de plugin-instellingenpagina afhandelt. Een succesvolle exploitatie kan leiden tot ongeautoriseerde wijzigingen in de plugin-instellingen. De kwetsbaarheid is openbaar gemaakt op 21 april 2026 en een upgrade wordt aanbevolen.
Een aanvaller kan deze XSRF-kwetsbaarheid uitbuiten om ongeautoriseerde wijzigingen aan te brengen in de instellingen van de Google PageRank Display plugin. Dit kan resulteren in onbedoelde functionaliteit, verandering van de weergave van de pagina of zelfs het compromitteren van de integriteit van de website. Omdat de instellingen worden opgeslagen via update_option(), kan een aanvaller potentieel gevoelige configuratiegegevens wijzigen, afhankelijk van de specifieke instellingen van de plugin. De impact is groter voor websites met een beheerder die regelmatig de plugin-instellingen bezoekt.
Deze kwetsbaarheid is openbaar gemaakt op 21 april 2026. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar het is waarschijnlijk dat er in de toekomst proof-of-concept exploits beschikbaar komen. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en CISA (Cybersecurity and Infrastructure Security Agency) catalogus. De EPSS score is momenteel niet bekend.
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Google PageRank Display plugin naar een beveiligde versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die XSRF-tokens valideert voor de instellingenpagina van de plugin. Controleer ook de WordPress-configuratie op extra beveiligingsmaatregelen, zoals het afdwingen van sterke wachtwoorden en het beperken van de toegang tot de beheerder. Na de upgrade, controleer de plugin-instellingen om te bevestigen dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6294 is een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Google PageRank Display plugin voor WordPress, waardoor een aanvaller instellingen kan wijzigen namens een beheerder.
Ja, als u de Google PageRank Display plugin gebruikt in versie 1.4 of lager, bent u kwetsbaar voor deze XSRF-aanval.
Upgrade de Google PageRank Display plugin naar de nieuwste versie. Indien dit niet mogelijk is, implementeer dan een WAF die XSRF-tokens valideert.
Er zijn momenteel geen bekende actieve campagnes, maar het is waarschijnlijk dat er in de toekomst exploits beschikbaar komen.
Raadpleeg de WordPress plugin directory of de website van de plugin-ontwikkelaar voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.