De Video Share VOD – Turnkey Video Site Builder Script plugin voor WordPress, versie <= 2.7.6, bevat een kritiek beveiligingslek (CVE-2025-7812). Deze kwetsbaarheid maakt het mogelijk voor niet-geverifieerde aanvallers om zonder juiste verificatie instellingen aan te passen en mogelijk kwaadaardige code uit te voeren via een Cross-Site Request Forgery (CSRF). Dit kan ernstige gevolgen hebben, zoals volledige compromittering van uw website.
Overzicht
Dit probleem treedt op door het ontbreken van adequate nonce-validatie in de adminExport() functie. Aanvallers kunnen een beheerder misleiden door hem naar een kwaadaardige link te laten klikken, waardoor ze instellingen kunnen wijzigen en eventuele code kunnen uitvoeren als de server command-uitvoeringsoptie is ingeschakeld.
Aanbevelingen
- Werk de plugin onmiddellijk bij naar een beveiligde versie zodra een update beschikbaar is van de verkoper.
- Beperk plugin-toegang tot alleen vertrouwde gebruikers en controleer regelmatig uw websites op ongeautoriseerde wijzigingen.
Bronnen
- Wordfence Vulnerability Information
- Plugin Code Line 3360
- Options.php Line 728
- Plugin Code Change Log
Vraag en Antwoord
Wat is CVE-2025-7812?
CVE-2025-7812 is een kwetsbaarheid in de Video Share VOD plugin die CSRF mogelijk maakt, resulterend in mogelijke controle- en code-injectie door ongeautoriseerde partijen.
Welke systemen zijn kwetsbaar voor CVE-2025-7812?
Alle WordPress installaties die gebruik maken van de Video Share VOD plugin versie 2.7.6 of eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er geen patch beschikbaar. Het is cruciaal om updates van de plugin-ontwikkelaar nauw in de gaten te houden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten instellingen wijzigen en potentieel kwaadaardige code uitvoeren op uw server, met als gevolg volledige compromittering van uw website.
