De WordPress plugin WC Plus vertoont een ernstige kwetsbaarheid, CVE-2025-7821, die manipulatie van instellingen zonder toestemming mogelijk maakt. Dit probleem treft alle versies tot en met 1.2.0 en kan ervoor zorgen dat een ongeauthenticeerde aanvaller de favicon logo-instellingen van de site kan wijzigen.
Deze kwetsbaarheid, gerapporteerd door ch4r0n, heeft een CVSS-score van 5.3 en wordt geclassificeerd als middelmatig. Het is essentieel dat gebruikers van WC Plus onmiddellijk actie ondernemen om hun systemen te beveiligen.
Overzicht
De kwetsbaarheid bestaat doordat er een ontbrekende controle op rechten is bij de ‘pluswc_logo_favicon_logo_base’ AJAX-actie. De aanvaller kan ongestraft de configuratie aanpassen zonder authentificatie, wat leidt tot potentieel ongewenste wijzigen van de site aanwezigheid.
Aanbevelingen
- Upgrade onmiddellijk naar een versie hoger dan 1.2.0 van de WC Plus plugin zodra deze beschikbaar is.
- Controleer regelmatig de WordPress plugin pagina voor updates en patches.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7821?
CVE-2025-7821 is een beveiligingslek in de WC Plus WordPress plugin, waardoor ongeauthenticeerde aanvallers de favicon logo-instellingen van een website kunnen wijzigen.
Welke systemen zijn kwetsbaar voor CVE-2025-7821?
Alle systemen die de WC Plus plugin gebruiken van versie 1.2.0 of lager.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen patch bekend, maar het is belangrijk om de ontwikkelaars en hun uitgaves goed in de gaten te houden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongezien de favicon logo-instellingen van de site wijzigen, wat kan leiden tot reputatieschade of een afwijkende functionaliteit van de site.
