Een kritiek beveiligingslek is ontdekt in de plug-in Sertifier Certificate & Badge Maker voor WordPress – Tutor LMS. Dit lek, aangeduid als CVE-2025-7841, stelt aanvallers in staat om Cross-Site Request Forgery (CSRF) uit te voeren en zo ongeautoriseerde wijzigingen in de plug-in instellingen aan te brengen. Dit kan gebeuren wanneer een beheerder nietsvermoedend op een schadelijke link klikt.
Alle versies van de plug-in tot en met 1.19 zijn kwetsbaar voor dit probleem. Door een gebrek aan juiste nonce-validatie op de ‘sertifier_settings’ pagina, kunnen aanvallers de API-sleutel van de plug-in aanpassen zonder authenticatie.
Overzicht
- Kwetsbaarheidstype: CWE-352 Cross-Site Request Forgery (CSRF)
- CVSS Score: 4.3 (Medium)
- Ontdekt door: Nabil Irawan
Aanbevelingen
- Update de Sertifier Certificate & Badge Maker voor WordPress – Tutor LMS plug-in naar een versie hoger dan 1.19 zodra een patch beschikbaar is.
- Vermijd het klikken op verdachte links, vooral als u als beheerder bent ingelogd.
- Controleer regelmatig de instellingen van de door de plug-in gebruikte API-sleutel.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7841?
CVE-2025-7841 is een beveiligingsfout in de plug-in Sertifier Certificate & Badge Maker voor WordPress – Tutor LMS, waardoor ongeoorloofde wijzigingen aan instellingen kunnen worden doorgevoerd via Cross-Site Request Forgery.
Welke systemen zijn kwetsbaar voor CVE-2025-7841?
Alle WordPress-installaties die de affecteerde versies van de Sertifier Certificate & Badge Maker gebruiken, met name tot en met versie 1.19.
Bestaat er al een patch of beveiligingsupdate?
Controleer of er een update beschikbaar is op de officiële WordPress plugin-marktplaats.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door een beheerdersactie te forceren de API-sleutel van de plug-in wijzigen zonder toestemming.
