← Terug naar Blog
Security Briefing 10 min leestijd

Kritieke WordPress-pluginkwetsbaarheden stellen miljoenen sites bloot — Wat NIS2-conforme bedrijven nu moeten doen

Meerdere kritieke WordPress-pluginkwetsbaarheden (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) stellen meer dan 8 miljoen websites bloot aan remote code-uitvoering. NIS2-gereguleerde bedrijven moeten binnen 24 uur melden — hier is uw actieplan.


Drie kritieke WordPress-pluginkwetsbaarheden ontdekt

CVE-2026-1743 — WP Advanced Forms: Niet-geauthenticeerde RCE (CVSS 9.8)

Een kritieke niet-geauthenticeerde remote code execution kwetsbaarheid in WP Advanced Forms (versies < 3.4.2) stelt aanvallers in staat willekeurige PHP-code uit te voeren. Meer dan 3 miljoen actieve installaties getroffen.

CVE-2026-1891 — ElementorPro Widgets: SQL-injectie (CVSS 9.1)

Een SQL-injectiefout in ElementorPro Widgets (versies < 4.1.7) maakt volledige database-extractie mogelijk. 2,8 miljoen sites in gevaar.

CVE-2026-2034 — WooCommerce Payments: Authenticatie-bypass (CVSS 9.4)

Een authenticatie-bypass in WooCommerce Payments Gateway (versies < 6.9.3) maakt escalatie naar beheerdersrechten mogelijk. 2,5 miljoen webshops potentieel getroffen.


Impactbeoordeling

CVEPluginCVSSActieve installatiesGepatchte versie
CVE-2026-1743WP Advanced Forms9.83,1M3.4.2
CVE-2026-1891ElementorPro Widgets9.12,8M4.1.7
CVE-2026-2034WooCommerce Payments9.42,5M6.9.3

Samen treffen deze kwetsbaarheden meer dan 8 miljoen WordPress-installaties wereldwijd.


NIS2-nalevingsimplicaties

Onder de EU NIS2-richtlijn (Richtlijn 2022/2555) staan organisaties die als essentiële of belangrijke entiteiten zijn geclassificeerd voor strenge verplichtingen:

24-uurs vroegtijdige waarschuwing

Artikel 23 van NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur.

72-uurs incidentmelding

Een volledige incidentmelding moet worden ingediend bij het nationale CSIRT binnen 72 uur.

Boetes en sancties


Direct actieplan

Stap 1: Getroffen assets identificeren (0–2 uur)

Stap 2: Direct patchen (2–4 uur)

Stap 3: Onderzoek op compromittering (4–12 uur)

Stap 4: NIS2-melding (indien gecompromitteerd)

Bescherm uw organisatie met KENSAI

Ontvang realtime kwetsbaarheidsmeldingen, NIS2-nalevingsmonitoring en dagelijkse beveiligingsbriefings.

Gratis proefperiode starten →

Blijf waakzaam. — Het KENSAI-beveiligingsteam