De Simpler Checkout plugin voor WordPress vertoont een kritieke kwetsbaarheid in de versies 0.7.0 tot en met 1.1.9. Door een gebrek aan juiste identiteitsverificatie kan een aanvaller zich als administrator aanmelden zonder te authenticeren, mits hij over een order ID beschikt. Dit kan leiden tot volledige controle over uw website.
Overzicht
De kwetsbaarheid bevindt zich in de simplerwc_woocommerce_order_created() functie, die zich niet houdt aan de juiste authenticatieprotocollen. Hierdoor kan een onbevoegde gebruiker inloggen als andere gebruikers, waaronder beheerders, als zij een order ID hebben dat gerelateerd is aan de admin.
Aanbevelingen
- Werk zo snel mogelijk de Simpler Checkout plugin bij naar een versie boven 1.1.9.
- Controleer de rechten en acties in uw WordPress-installatie om ongeoorloofde toegang te stoppen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7642?
Het betreft een authenticatie omzeiling kwetsbaarheid in de Simpler Checkout plugin waardoor onbevoegde inlog mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-7642?
Systemen die de Simpler Checkout plugin versie 0.7.0 tot 1.1.9 gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar een versie na 1.1.9 om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan inloggen als andere gebruikers, waaronder beheerders, en daarmee volledige controle over de site verkrijgen.
