De WordPress-plugin ‘WCFM – Frontend Manager voor WooCommerce’ is getroffen door een kritieke kwetsbaarheid (CVE-2025-3780) die het mogelijk maakt voor niet-geauthenticeerde aanvallers om de instellingen van de plugin te bekijken en wijzigen. Dit omvat potentieel gevoelige gegevens zoals betalingsdetails en API-sleutels. Het probleem ligt in de wcfm_redirect_to_setup functie die onvoldoende controleert op gebruikersrechten tot en met versie
6.7.16
.
Overzicht
De kwetsbaarheid, geïdentificeerd als CVE-2025-3780, wordt veroorzaakt door het ontbreken van voldoende autorisatiecontrole binnen de plugin, waardoor aanvallers zonder authenticatie toegang krijgen tot kritieke onderdelen van de plugin-instellingen. Aangezien de kwetsbaarheid zich voordoet met een CVSS basis score van 6.5, wordt deze als middelmatig ernstig geclassificeerd.
Aanbevelingen
- Controleer uw WordPress-site of u de WCFM-plugin gebruikt en of deze versie
6.7.16
of ouder is.
- Werk de plugin onmiddellijk bij naar een nieuwere versie, indien beschikbaar, om dit beveiligingslek te verhelpen.
- Voer regelmatig beveiligingsaudits uit om verdere kwetsbaarheden op te sporen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-3780?
Dit is een beveiligingslek in de WCFM-plugin voor WordPress, waarmee niet-geauthenticeerde gebruikers de instellingen kunnen bekijken en wijzigen.
Welke systemen zijn kwetsbaar voor CVE-2025-3780?
Alle systemen die de versie
6.7.16
of ouder gebruiken van de WCFM-plugin.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen directe informatie over een patch. Controleer regelmatig op updates of raadpleeg de ontwikkelaar voor meer informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongemerkt toegang krijgen tot en wijzigingen aanbrengen in gevoelige plugin-instellingen, zoals betalingsinformatie en API-sleutels.
