Een ernstige kwetsbaarheid is ontdekt in de WP Crontrol plugin, versies 1.17.0 tot en met 1.19.1, voor WordPress. Deze kwetsbaarheid kan door geauthenticeerde gebruikers met beheerdersrechten worden misbruikt voor een server-side request forgery (SSRF). Dit maakt het mogelijk om webverzoeken te maken naar willekeurige locaties die afkomstig lijken van de webapplicatie, en toegang te krijgen tot interne services.
Overzicht
WP Crontrol, een populaire plugin van johnbillion, ondervindt een SSRF-kwetsbaarheid vanwege een probleem in de wp_remote_request functie. Aanvallers met beheerderstoegang kunnen informatie opvragen en wijzigen van interne systemen.
WP Crontrol versie: 1.17.0 tot en met 1.19.1
Aanbevelingen
- Update de WP Crontrol plugin onmiddellijk naar de nieuwste versie die deze kwetsbaarheid oplost.
- Controleer regelmatig uw WordPress plugins en houd ze up-to-date.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8678?
Het is een kwetsbaarheid in de WP Crontrol plugin voor WordPress, gevonden tussen versies 1.17.0 en 1.19.1, die SSRF-aanvallen mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-8678?
Alle WordPress-installaties die de WP Crontrol plugin gebruiken in de versies 1.17.0 tot en met 1.19.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt ten zeerste aanbevolen om de plugin bij te werken naar de nieuwste versie die deze beveiligingslekken oplost.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan webverzoeken doen naar willekeurige servers en mogelijk gevoelige informatie uit interne systemen verkrijgen of wijzigen.
