De WordPress-plugin Vchasno Kasa is kwetsbaar voor ongeautoriseerde verwijdering van logbestanden door een ontbrekende permissiecontrole op de clear_all_log() functie in alle versies tot en met 1.0.3. Dit maakt het mogelijk voor niet-geverifieerde aanvallers om logbestanden te wissen.
Overzicht
De kwetsbaarheid bevindt zich in de Vchasno Kasa-integratie van de bandido vendor, en beperkt zich tot versies tot en met 1.0.3. De clear_all_log() functie mist een essentiële controle, waardoor kwaadwillenden zonder in te loggen logbestanden kunnen verwijderen. Het probleem werd ontdekt door Phong Nguyen en gepubliceerd door Wordfence.
Aanbevelingen
- Update de plugin naar een versie hoger dan 1.0.3 om de kwetsbaarheid te verhelpen.
- Chern systems om zeker te zijn dat er geen verandering in loggegevens is die ongeautoriseerd had kunnen gebeuren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6720?
Het betreft een beveiligingslek in de Vchasno Kasa-plugin voor WordPress waarbij logbestanden ongeautoriseerd kunnen worden gewist door een ontbrekende autorisatiecontrole.
Welke systemen zijn kwetsbaar voor CVE-2025-6720?
Alle WordPress-systemen die gebruikmaken van de Vchasno Kasa-plugin versie 1.0.3 of ouder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, u wordt geadviseerd om de plugin te updaten naar een versie hoger dan 1.0.3.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan logbestanden wissen zonder toestemming, wat kan leiden tot het afhandelen van systeemlogboeken en mogelijk delictieve activiteiten verdoezelen.
