De WordPress-plugin Friends vertoont een kritiek beveiligingslek in versie 3.5.1. Deze kwetsbaarheid betreft een PHP Object Injection via de deserialisatie van onbetrouwbare invoer van de query_vars parameter. Voor geauthenticeerde aanvallers met toegang vanaf abonnementsniveau is het mogelijk om een PHP-object in te voeren indien een POP-keten aanwezig is via andere geïnstalleerde plugins of thema’s op de site.
Indien een POP-keten aanwezig is door extra plugins of thema’s kan deze kwetsbaarheid aanvallers toestaan willekeurige bestanden te verwijderen, gevoelige data te verkrijgen, of code uit te voeren. Deze aanval vereist toegang tot de SALT_NONCE en SALT_KEY van de site.
Overzicht
Het probleem bevindt zich in de manier waarop de query_vars parameter wordt verwerkt, wat kan leiden tot een PHP Object Injection. Hoewel geen POP-keten aanwezig is binnen de kwetsbare software zelf, kan een dergelijke keten aanwezig zijn via andere plugins of thema’s.
Aanbevelingen
- Controleer geïnstalleerde plugins en thema’s op aanwezigheid van POP-ketens en werk ze indien mogelijk bij.
- Beperk toegang tot de genoemde
SALT_NONCEenSALT_KEYvoor geautoriseerde gebruikers.
Bronnen
- Wordfence Threat Intelligence
- GitHub Pull Request
- Officiële plugin pagina
- Google Drive document
- Trac WordPress Changeset
Vraag en Antwoord
Wat is CVE-2025-7504?
Dit is een kwetsbaarheid in de Friends plugin voor WordPress in versie 3.5.1, die PHP Object Injection mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-7504?
Systemen met de Friends plugin versie 3.5.1 zijn kwetsbaar, vooral als er andere plugins of thema’s met een POP-keten geïnstalleerd zijn.
Bestaat er al een patch of beveiligingsupdate?
Controleer of een update beschikbaar is voor de Friends plugin en geïnstalleerde thema’s of plugins die een POP-keten kunnen bevatten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk gevoelige data verkrijgen, willekeurige bestanden verwijderen of code uitvoeren als een POP-keten aanwezig is.
