De WordPress plugin WPeMatico RSS Feed Fetcher is kwetsbaar voor Kruisbestandsverzoek Vervalsing (CSRF) in alle versies tot en met 2.8.7. Dit lek maakt het mogelijk voor ongeauthenticeerde aanvallers om de plugin te deactiveren via een vervalst verzoek, op voorwaarde dat zij een beheerder weten te misleiden, bijvoorbeeld door op een link te klikken.
Overzicht
Door ontbrekende validatie van nonces in de functie handle_feedback_submission() kunnen aanvallers een beheerder van de site, door middel van misleiding zoals het klikken op een link, acties uitvoeren die tot deactivering van de plugin leiden.
Aanbevelingen
- Update de WPeMatico RSS Feed Fetcher plugin naar de nieuwste versie zodra deze beschikbaar is.
- Informeer uw gebruikers over het risico van het klikken op onbekende links.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8103?
Deze CVE beschrijft een CSRF-kwetsbaarheid in de WPeMatico RSS Feed Fetcher plugin, waarmee aanvallers beheerders kunnen misleiden acties uit te voeren.
Welke systemen zijn kwetsbaar voor CVE-2025-8103?
Alle systemen met de WPeMatico RSS Feed Fetcher plugin versie 2.8.7 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen patch beschikbaar; gebruikers dienen de pluginupdates te controleren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deactivatie van de plugin veroorzaken, wat de RSS-feedfunctionaliteit beïnvloedt.
