Er is een ernstige kwetsbaarheid ontdekt in de populaire WordPress-plugin ‘Request a Quote Form’ van Emarket Design. Deze kwetsbaarheid (CVE-2025-8420) maakt het mogelijk voor niet-geautoriseerde aanvallers om op afstand code uit te voeren op de server, zonder gebruikersinvoer correct te valideren. Dit betreft versies tot en met 2.5.2 en heeft een hoge impactscore van 8.1.
Dit probleem wordt veroorzaakt door de emd_form_builder_lite_pagenum functie, die niet de juiste actuele inputvalidatie toepast bij het gebruik van functie namen. Hoewel parameters voor deze functies niet doorgegeven kunnen worden, kan een kwaadwillende toch vergaande toegang tot uw systeem verkrijgen.
Overzicht
De getroffenen zijn gebruikers van de ‘Request a Quote Form’ plugin versie ≤ 2.5.2. De kwetsbaarheid, geïdentificeerd als CWE-95, is gelabeld als een onjuiste neutralisatie van richtlijnen in dynamisch geëvalueerde code (Eval-injectie).
Aanbevelingen
- Update onmiddellijk naar een versie van de plugin die hoger is dan 2.5.2.
- Controleer uw systemen op verdachte activiteiten die mogelijk verband houden met ongeautoriseerd gebruik van deze plugin.
Bronnen
- Bezoek Wordfence voor meer informatie over deze kwetsbaarheid
- Bekijk de changelog van het WordPress plugin archief
Vraag en Antwoord
Wat is CVE-2025-8420?
Het is een kwetsbaarheid in de ‘Request a Quote Form’ plugin voor WordPress, waardoor aanvallers op afstand code kunnen uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-8420?
Alle WordPress systemen die gebruik maken van de ‘Request a Quote Form’ plugin versie 2.5.2 of lager.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is essentieel om te updaten naar een hogere versie dan 2.5.2.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerd code uitvoeren op uw server, wat kan leiden tot diefstal van gegevens of beschadiging van uw systeem.
Belangrijk: Neem actie om uw systeem te beveiligen en de plugin bij te werken.
