De Case Theme User plugin voor WordPress bevat een kritieke kwetsbaarheid in versie 1.0.3 en eerder, waardoor onbevoegde aanvallers zich kunnen aanmelden als administratieve gebruikers. Dit gebeurt via de social login functionaliteit zonder correcte authenticatie.
Een aanvaller kan, mits hij toegang heeft tot de e-mail van de administratieve gebruiker en al een bestaand account op de site heeft, zichzelf volledige beheerdersrechten verschaffen. Dit kan leiden tot volledige controle over uw website.
Overzicht
Deze kwetsbaarheid, geclassificeerd als CWE-288, betreft een omzeiling van authenticatie door een alternatieve route te gebruiken via de facebook_ajax_login_callback() functionaliteit. De Base Score voor deze kwetsbaarheid is vastgesteld op 9.8, met een kritisch ernstniveau.
Aanbevelingen
- Update de Case Theme User plugin naar de meest recente versie wanneer deze beschikbaar is.
- Controleer gebruikersaccounts op ongeautoriseerde toegang.
- Herstel wachtwoorden van administratieve gebruikers wanneer vermoedens van toegang bestaan.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5821?
Dit is een kwetsbaarheid in de Case Theme User plugin van WordPress die onbevoegde aanmeldingen mogelijk maakt via sociale login.
Welke systemen zijn kwetsbaar voor CVE-2025-5821?
Systemen die gebruikmaken van de Case Theme User plugin tot en met versie 1.0.3.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er nog geen patch vrijgegeven. Kantoor upgrade de plugin zodra updates beschikbaar komen.
Wat kan een aanvaller met deze kwetsbaarheid?
De aanvaller kan inloggen als beheerder, waardoor volledige toegang tot en controle over de website mogelijk is.
