Er is een nieuw kritiek beveiligingslek gevonden in de iThoughts Advanced Code Editor plugin voor WordPress, genummerd CVE-2025-7835. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om plug-in instellingen te wijzigen door gebruik te maken van een Cross-Site Request Forgery (CSRF) aanval. Dit treedt op in alle versies tot en met 1.2.10, doordat de juiste nonce validatie ontbreekt.
Dit betekent dat een aanvaller erin kan slagen een beheerder een malafide link te laten bezoeken, waarna de instellingen van de plugin ongemerkt kunnen worden aangepast. Dit vormt een directe dreiging voor de veiligheid en integriteit van WordPress sites die deze plugin gebruiken.
Overzicht
Het kwetsbare onderdeel betreft de AJAX-actie ‘ithoughts_ace_update_options’, waarbij de noodzakelijke validatie ontbreekt. Zonder deze controlenoodzaak kunnen kwaadwillenden acties uitvoeren zonder dat de admin hier directe toestemming voor geeft.
Aanbevelingen
- Update de iThoughts Advanced Code Editor plugin naar een versie boven 1.2.10 zodra een patch beschikbaar is.
- Wees alert op verdachte links en e-mails die u kunnen verleiden om onbedoelde acties uit te voeren als beheerder.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7835?
Dit is een Cross-Site Request Forgery kwetsbaarheid in de iThoughts Advanced Code Editor plugin, waarbij aanvallers instellingen kunnen wijzigen zonder de juiste authenticatie.
Welke systemen zijn kwetsbaar voor CVE-2025-7835?
Alle systemen die gebruikmaken van de iThoughts Advanced Code Editor plugin versie 1.2.10 en lager.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er nog geen patch beschikbaar. Volg de ontwikkelaar voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder toestemming van de beheerder plugin-instellingen wijzigen, wat kan leiden tot potentieel schadelijke aanpassingen binnen uw WordPress site.
