Een kritieke SQL-injectie (CVE-2025-7638) is ontdekt in de Forminator Forms plugin voor WordPress. Deze kwetsbaarheid, die alle versies tot en met 1.45.0 treft, maakt het mogelijk voor geauthenticeerde aanvallers met beheerdersrechten om gevoelige informatie uit de database te extraheren via de order_by parameter.
De plugin mist voldoende ontsnapping en voorbereiding op gebruikersingave, waardoor het voor een aanvaller mogelijk is om extra SQL-query’s toe te voegen aan al bestaande query’s.
Overzicht
Deze kwetsbaarheid bevindt zich in de manier waarop de Forminator Forms plugin SQL-query’s verwerkt. Het probleem ligt in het onvoldoende neutraliseren van speciale elementen in SQL-opdrachten, aangeduid als CWE-89.
Aanbevelingen
- Controleer de versie van de Forminator Forms plugin en werk bij naar een nieuwere versie zodra beschikbaar om deze kwetsbaarheid te verhelpen.
- Beperk de beheerdersrechten en controleer welke gebruikers toegang hebben tot de backend van uw website.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7638?
CVE-2025-7638 is een bekende kwetsbaarheid in de Forminator Forms plugin die tijdgebaseerde SQL-injectie mogelijk maakt voor gebruikers met beheerdersrechten.
Welke systemen zijn kwetsbaar voor CVE-2025-7638?
Alle WordPress-installaties die de Forminator Forms plugin gebruiken in versies tot en met 1.45.0.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er geen specifieke patch uitgebracht; gebruikers worden aangeraden om de pluginversie te controleren en beveiligingsupdates in de gaten te houden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige database-informatie extraheren door ongeautoriseerd SQL-query’s toe te voegen binnen de plugin.
