Gratis scannen
MEDIUMCVE-2026-3309CVSS 6.5

CVE-2026-3309: Arbitrary Shortcode Execution in ProfilePress

Platform

wordpress

Component

wp-user-avatar

Opgelost in

4.16.12

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

De ProfilePress plugin voor WordPress is kwetsbaar voor willekeurige shortcode-uitvoering in versies tot en met 4.16.11. Deze kwetsbaarheid ontstaat doordat de plugin factuurveldwaarden van gebruikers niet voldoende valideert voordat deze in shortcode-templates worden gebruikt. Een succesvolle exploitatie kan leiden tot ongeautoriseerde code-uitvoering op de WordPress website, wat ernstige gevolgen kan hebben voor de beveiliging en integriteit van de data.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een aanvaller kan deze kwetsbaarheid misbruiken om willekeurige shortcodes uit te voeren op de WordPress website. Dit kan leiden tot het injecteren van kwaadaardige code, het wijzigen van website-inhoud, het stelen van gevoelige informatie, of zelfs het overnemen van de volledige website. De impact is aanzienlijk, omdat de kwetsbaarheid toegankelijk is voor niet-geauthenticeerde aanvallers, wat betekent dat iedereen met toegang tot de website deze kan misbruiken. De mogelijkheid tot het injecteren van shortcodes opent de deur naar diverse aanvallen, waaronder het uitvoeren van shell-commando's of het installeren van malware.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-04. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat de kans op misbruik vergroot. Het is aan te raden om de website zo snel mogelijk te patchen om verdere exploitatie te voorkomen. De ernst van de kwetsbaarheid is beoordeeld als medium, wat wijst op een redelijke kans op misbruik.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.04% (11% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N6.5MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentwp-user-avatar
Leverancierwordfence
Getroffen bereikOpgelost in
0.0.0 – 4.16.114.16.12

Pakketinformatie

Actieve installaties
100KPopulair
Plugin-beoordeling
3.1
Vereist WordPress
6.0+
Compatibel tot
7.0
Vereist PHP
7.4+
Website

Zwakheidsclassificatie (CWE)

CWE-94

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van de ProfilePress plugin naar versie 4.16.12 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de factuurvelden in de checkout-procedure. Controleer ook de WordPress website op verdachte shortcodes of ongebruikelijke bestanden. Implementeer een Web Application Firewall (WAF) met regels die shortcode-injectie proberen te detecteren en te blokkeren. Monitor de website logbestanden op pogingen tot shortcode-injectie.

Hoe te verhelpen

Update naar versie 4.16.12, of een nieuwere gepatchte versie

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-3309 — Arbitrary Shortcode Execution in ProfilePress?

CVE-2026-3309 is een kwetsbaarheid in de ProfilePress plugin voor WordPress waardoor ongeautoriseerde aanvallers willekeurige shortcodes kunnen uitvoeren.

Ben ik getroffen door CVE-2026-3309 in ProfilePress?

U bent getroffen als u de ProfilePress plugin gebruikt in versie 0.0.0–4.16.11.

Hoe los ik CVE-2026-3309 in ProfilePress op?

Upgrade de ProfilePress plugin naar versie 4.16.12 of hoger.

Wordt CVE-2026-3309 actief misbruikt?

Hoewel er momenteel geen publieke exploits zijn, is de kwetsbaarheid relatief eenvoudig te exploiteren en de kans op misbruik is aanwezig.

Waar kan ik het officiële ProfilePress advisory voor CVE-2026-3309 vinden?

Raadpleeg de ProfilePress website of de WordPress plugin repository voor het officiële advisory.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken