Een ernstig beveiligingslek genaamd CVE-2025-4855 in de Support Board plugin voor WordPress maakt het mogelijk dat aanvallers ongeautoriseerde toegang verkrijgen tot gegevens. Dit komt door het gebruik van hardcoded standaardgeheimen in de sb_encryption()-functie, aanwezig in alle versies tot en met 3.8.0. Hierdoor kan een aanvaller de autorisatie omzeilen en willekeurige AJAX-acties uitvoeren via de sb_ajax_execute()-functie.
Dit lek stelt aanvallers in staat om andere kwetsbaarheden, inclusief CVE-2025-4828, uit te buiten zonder authenticatie, wat ernstige gevolgen kan hebben voor uw websitebeveiliging.
Overzicht
- Kwetsbaarheid: Ongeautoriseerde toegang en manipulatie van data
- CWE: CWE-639 Authorization Bypass Through User-Controlled Key
- Impactscore: 9.8 (Kritiek)
- Gevolgen: Volledige controle door een aanvaller
Aanbevelingen
Bij gebruik van Support Board, update uw plugin onmiddellijk naar een versie hoger dan 3.8.0 om deze kwetsbaarheid te neutraliseren. Monitor ook regelmatige beveiligingsupdates van Wordfence voor verdere aanbevelingen.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-4855?
Dit is een beveiligingslek dat aanvallers in staat stelt ongeoorloofd toegang te krijgen tot de Support Board plugin, waardoor ernstige schade kan worden aangericht.
2. Welke systemen zijn kwetsbaar voor CVE-2025-4855?
Alle WordPress-systemen die de Support Board plugin versie 3.8.0 of lager gebruiken, zijn kwetsbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om te updaten naar de nieuwste beschikbare versie van de Support Board plugin boven 3.8.0.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige data manipuleren, toegang verkrijgen tot systeemfuncties en controle over de website overnemen.
