Er is een ernstige kwetsbaarheid ontdekt in de WP JobHunt plugin voor WordPress, van toepassing op alle versies tot en met 7.2. Door onvoldoende validatie in de functie cs_remove_profile_callback() kunnen geauthenticeerde aanvallers met minimaal ‘Subscriber’-rechten de accounts van andere gebruikers, waaronder beheerders, verwijderen. Dit brengt een groot risico met zich mee voor websites die deze plugin gebruiken, aangezien kwaadwillenden zonder uw weten accounts kunnen wissen.
Overzicht
De kwetsbaarheid staat bekend als een Insecure Direct Object Reference (IDOR) en is geïdentificeerd als CVE-2025-6585. De impact ervan is aanzienlijk met een CVSS-score van 8.1, geclassificeerd als hoog risico. Dit maakt het mogelijk voor aanvallers om zonder gebruikersinteractie kritieke schade aan te brengen in de gebruikersaccounts van een WordPress-site.
Aanbevelingen
- Update onmiddellijk de WP JobHunt plugin naar een versie hoger dan 7.2 zodra deze beschikbaar is.
- Beperk de toegang tot Subscriber-rechten indien mogelijk, totdat een patch is uitgebracht.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6585?
Dit is een geregistreerde kwetsbaarheid voor een Insecure Direct Object Reference (IDOR) in de WP JobHunt plugin, waarmee aanmelders met basisrechten accounts kunnen wissen.
Welke systemen zijn kwetsbaar voor CVE-2025-6585?
Alle WordPress-systemen die de WP JobHunt plugin gebruiken in de versies tot en met 7.2 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er nog geen patch beschikbaar. Het is cruciaal om updates te monitoren en direct te implementeren zodra ze beschikbaar zijn.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder extra wachten gebruikersaccounts verwijderen, inclusief die van beheerders, waardoor een aanzienlijk beveiligingsrisico ontstaat.
