Een kritieke beveiligingskwetsbaarheid, CVE-2025-6895, is ontdekt in de Melapress Login Security plugin voor WordPress versies 2.1.0 tot 2.1.1. Dit probleem maakt het mogelijk voor niet-geverifieerde aanvallers om authenticatiecontroles te omzeilen en in te loggen als een gebruiker, door een willekeurige gebruikersmeta waarde te kennen.
Met een CVSS-score van 9.8 wordt deze kwetsbaarheid als bijzonder kritiek geclassificeerd, omdat een aanvaller zonder enige rechten toegang kan krijgen tot systemen en accounts, met potentieel grote gevolgen voor de veiligheid van uw website.
Overzicht
De kwetsbaarheid, aangeduid als CWE-288 Authentication Bypass, ontstaat door een gebrek aan autorisatie binnen de get_valid_user_based_on_token() functie. Hierdoor kan een aanvaller onrechtmatig toegang verkrijgen.
Aanbevelingen
- Beheerders wordt ten zeerste aangeraden om een update uit te voeren naar een versie hoger dan 2.1.1.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6895?
Dit is een beveiligingslek in de Melapress Login Security plugin voor WordPress. Het betreft een authenticatie omzeiling die aanvallers in staat stelt om in te loggen zonder geldige credentials.
Welke systemen zijn kwetsbaar voor CVE-2025-6895?
Systemen die Melapress Login Security plugin versie 2.1.0 tot 2.1.1 draaien zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, updaten naar een latere versie dan 2.1.1 wordt aanbevolen om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zich authenticeren als een legitieme gebruiker zonder geldige authenticatie, wat leidt tot ongeoorloofde toegang tot gevoelige gegevens en functionaliteiten.
