Een kritiek beveiligingslek (CVE-2025-6380) is ontdekt in de ONLYOFFICE Docs plug-in voor WordPress, versies 1.1.0 tot 2.2.0. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om in te loggen als een willekeurige gebruiker door middel van zwakke autorisaties binnen het oo.callback REST-endpoint.
Het probleem ligt in de ontoereikende controle van de identiteit van een verzoeker bij het mappen van een versleuteld bijlage ID. Dit kan leiden tot aanzienlijke veiligheidsrisico’s, zoals ongewenste toegang tot vertrouwelijke informatie en systemen.
Overzicht
De ONLYOFFICE Docs plugin mist cruciale autorisatiecontroles in zijn REST-endpoint, waardoor aanvallers ongeautoriseerde toegang kunnen krijgen. De kwetsbaarheid heeft een CVSS-score van 9.8, wat betekent dat de impact zowel op vertrouwelijkheid, integriteit als beschikbaarheid als kritiek wordt ingeschat.
Aanbevelingen
- Update de ONLYOFFICE Docs plug-in naar een versie boven 2.2.0 om deze kwetsbaarheid te verhelpen.
- Controleer de toegang tot uw WordPress-instanties en beperk deze waar mogelijk.
- Regelmatig controleren op beveiligingsupdates en patches voor alle geïnstalleerde plugins.
Bronnen
- Wordfence Vulnerability Information
- Plugin Source Code Callback
- ONLYOFFICE Plugin Developer Information
- Plugin Public Source Code
Vraag en Antwoord
Wat is CVE-2025-6380?
Dit is een beveiligingslek in de ONLYOFFICE Docs plugin voor WordPress dat ongeautoriseerde toegang toestaat via het oo.callback endpoint.
Welke systemen zijn kwetsbaar voor CVE-2025-6380?
Systemen die de ONLYOFFICE Docs plugin versie 1.1.0 tot en met 2.2.0 draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om te updaten naar een nieuwere versie boven 2.2.0.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder dat de oorspronkelijke gebruiker dit merkt, inloggen als een willekeurige gebruiker en mogelijk volledige toegang krijgen tot de getroffen WordPress-site.
