Een ernstig beveiligingslek is ontdekt in de Dataverse Integration-plugin voor WordPress, waarmee een aanvaller mogelijk toegang kan krijgen tot beheerdersaccounts. Dit lek, aangeduid als CVE-2025-7695, betreft het ontbreken van autorisatiecontroles bij de reset_password_link REST-endpoint in versies 2.77 tot en met 2.81 van de plugin.
Hoewel de endpoint alleen controleert of de beller is geverifieerd, wordt niet gecontroleerd of ze eigenaar zijn of mogen bewerken wat betreft het doelaccount. Dit betekent dat een geauthenticeerde aanvaller met ‘abonnee’-toegang of hoger een wachtwoordresetlink voor een beheerdersaccount kan verkrijgen en dat account kan overnemen.
Overzicht
Het probleem, aangeduid als CWE-862, betreft het ontbreken van noodzakelijke autorisatie. De plugin maakt het mogelijk voor elke geauthenticeerde gebruiker een resetlink te verkrijgen zonder dat er een specifieke check is of zij toegang zouden mogen hebben tot dat account.
Aanbevelingen
- Alle beheerders van WordPress-sites die de Dataverse Integration-plugin gebruiken, worden dringend aangeraden om onmiddellijk te updaten naar een versie hoger dan 2.81 zodra deze beschikbaar komt.
- Zorg ervoor dat alle wachtwoorden van beheerdersaccounts worden bijgewerkt en controleer op verdachte activiteit.
Bronnen
- Wordfence Threat Intelligence
- WordPress Plugin Page
- API Endpoint Code
- Reset Password Endpoint Code
- Plugin Code Changes
Vraag en Antwoord
Wat is CVE-2025-7695?
Dit is een kwetsbaarheid in de Dataverse Integration-plugin waarmee een aanvaller door ontbrekende autorisatiecontrole ongeoorloofd beheerdersaccounts kan overnemen.
Welke systemen zijn kwetsbaar voor CVE-2025-7695?
Versies 2.77 tot en met 2.81 van de Dataverse Integration-plugin voor WordPress zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Beheerders worden aangemoedigd om zo snel mogelijk te updaten naar een veilige versie zodra deze beschikbaar is, en oplettend te zijn voor nieuwe updates van de plugin.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een beheerdersaccount overnemen, wat leidt tot volledige controle over de WordPress-website.
