Er is een kwetsbaarheid ontdekt in de ‘Plugin Pengiriman WooCommerce Kurir Reguler, Instan, Kargo – Biteship’ die onveilige directe objectreferenties mogelijk maakt. Dit beveiligingslek treft alle versies tot en met 3.2.0. Aanvallers met geauthenticeerde toegang op het niveau van ‘Subscriber’ en hoger kunnen hierdoor bestellingen van andere gebruikers bekijken.
Overzicht
De kwetsbaarheid resulteert uit het ontbreken van de juiste autorisatiecontroles in de get_order_detail() functie. Hierdoor kan een aanvaller ongeautoriseerde toegang krijgen tot gevoelige bestelinformatie van andere gebruikers.
Aanbevelingen
- Update de plugin naar een nieuwere, gepatchte versie zodra deze beschikbaar is.
- Beperk de toegang van gebruikers tot het minimum vereiste niveau om dopende schade te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5816?
Het betreft een beveiligingslek in de Biteship-plugin voor WooCommerce, die leidt tot onveilige directe objectreferenties.
Welke systemen zijn kwetsbaar voor CVE-2025-5816?
Alle systemen die gebruikmaken van de versies t/m 3.2.0 van de genoemde plugin zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen gepatchte versie beschikbaar. Het is belangrijk om de ontwikkelaar te volgen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot en inzicht krijgen in bestelinformatie van andere gebruikers.
