Er is een belangrijke kwetsbaarheid ontdekt in de GiveWP – Donatie Plugin en Fondsenwervingsplatform voor WordPress, geïdentificeerd als CVE-2025-7221. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om de status van donaties te wijzigen zonder de juiste autorisaties. Dit probleem komt voor in alle versies tot en met 4.5.0 en kan ernstige gevolgen hebben voor uw online donatieprocessen, met potentiële impact op de integriteit van uw gegevens.
Overzicht
De kwetsbaarheid is te wijten aan het ontbreken van een capaciteitscontrole in de functie give_update_payment_status(). Dit stelt aanvallers met toegang op het niveau van GiveWP Worker of hoger in staat om donatiestatussen bij te werken, zonder dat dit via de gebruikersinterface zichtbaar is. Dit kan leiden tot ongeautoriseerde wijzigingen en verlies van vertrouwen in uw diensten.
Aanbevelingen
- Update uw GiveWP-plugin naar de nieuwste versie zodra een patch beschikbaar is.
- Controleer regelmatig de toegangsniveaus van uw gebruikers en herzie de machtigingen voor uw medewerkers.
- Volg de updates van de ontwikkelaar en beveiligingsadviseurs zoals Wordfence op de voet.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7221?
Het betreft een bevoegdheidsprobleem verwant aan de GiveWP-plugin die het mogelijk maakt om de status van donaties zonder juiste rechten te wijzigen.
Welke systemen zijn kwetsbaar voor CVE-2025-7221?
Alle systemen die gebruikmaken van de GiveWP – Donatie Plugin tot en met versie 4.5.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Meld u aan voor meldingen van updates via de ontwikkelaar en implementeer de oplossing zo snel mogelijk zodra deze beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller heeft de mogelijkheid om zonder toestemming donatiestatussen te wijzigen, wat grote gevolgen kan hebben voor de betrouwbaarheid van financiële transacties binnen uw organisatie.
