Een kritieke kwetsbaarheid genaamd CVE-2025-6781 is ontdekt in de WordPress-plugin Copymatic – AI Content Writer & Generator, die alle versies tot en met 2.1 beïnvloedt. Door een gebrek aan nonce-validatie op de ‘copymatic-menu’-pagina kunnen niet-geauthenticeerde aanvallers de copymatic_apikey optie updaten via een vervalst verzoek. Dit vereist dat een sitebeheerder wordt misleid om op een link te klikken.
Overzicht
De kwetsbaarheid staat bekend als Cross-Site Request Forgery (CSRF). Het probleem is dat er bij het uitvoeren van acties onvoldoende controlemechanismen zijn ingesteld, waardoor kwaadwillenden deze acties kunnen misbruiken om ongewenste wijzigingen aan te brengen.
Aanbevelingen
- Controleer of uw systemen gebruikmaken van de getroffen pluginversies en update naar een latere versie zodra deze beschikbaar is.
- Wees waakzaam voor verdachte linkjes of pogingen om sitebeheerders te misleiden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6781?
CVE-2025-6781 is een kwetsbaarheid in de Copymatic – AI Content Writer & Generator plugin voor WordPress, die misbruik mogelijk maakt door gebrek aan beveiligingscontrole bij gebruikersacties.
Welke systemen zijn kwetsbaar voor CVE-2025-6781?
Alle systemen die Copymatic – AI Content Writer & Generator gebruiken in versies tot en met 2.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen informatie beschikbaar over een patch, dus het advies is om nauwlettend de officiële pluginupdates te volgen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan wijzigingen aanbrengen in de plug-in instellingen door een beheerder te misleiden, wat mogelijk de veiligheid en integriteit van de site in gevaar brengt.
