De WordPress-plugin Affiliate Plus, ontwikkeld door mindnl, blijkt kwetsbaar voor Cross-Site Request Forgery (CSRF) in alle versies tot en met 1.3.2. Deze kwetsbaarheid stelt een aanvaller in staat om een ongeautoriseerde actie uit te voeren, mits de aanvaller de beheerder kan verleiden tot het klikken op een schadelijke link.
Overzicht
Het probleem wordt veroorzaakt door het ontbreken van of incorrecte nonce-validatie op de ‘affiplus_settings’ pagina. Hierdoor kunnen ongeauthenticeerde aanvallers potentieel gevaarlijke acties uitvoeren. Deze kwetsbaarheid heeft een CVSS-score van 6.1, wat staat voor een gemiddelde dreiging.
Aanbevelingen
- Update de Affiliate Plus plugin zodra een beveiligingspatch beschikbaar is.
- Vermijd het klikken op onbetrouwbare links of het openen van verdachte e-mails.
Bronnen
- Wordfence beveiligingsadvies
- Plugin broncode – affipsettings.php
- Plugin broncode – affiplus.php
- Affiliate Plus plugin pagina
Vraag en Antwoord
Wat is CVE-2025-7690?
Dit is een beveiligingslek in de Affiliate Plus plugin dat kan leiden tot ongeautoriseerde acties door een aanvaller.
Welke systemen zijn kwetsbaar voor CVE-2025-7690?
Alle WordPress-installaties die de Affiliate Plus plugin versie 1.3.2 of lager gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Controleer regelmatig op updates van de ontwikkelaar om te zien of er een patch is uitgebracht.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde wijzigingen aanbrengen in de WordPress-installatie door de beheerder te misleiden tot het uitvoeren van een actie op de site.
