Een kritieke beveiligingslek, aangeduid als CVE-2025-8488, is ontdekt in de plugin Ultimate Addons for Elementor van Brainstormforce. Dit lek maakt het voor geauthenticeerde aanvallers met minimaal Subscriber-toegang mogelijk om ongeautoriseerde aanpassingen te doen aan compatibiliteitsopties. Deze kwetsbaarheid treft alle versies tot en met versie 2.4.6.
Overzicht
Door een ontbrekende autorisatiecheck in de functie save_hfe_compatibility_option_callback() kunnen aanvallers met Subscriber-level toegang wijzigingen aanbrengen in de instellingen. Dit probleem wordt door het CWE-862 (Ontbrekende Autorisatie) geclassificeerd.
Aanbevelingen
- Update de Ultimate Addons for Elementor plugin naar een nieuwere versie dan 2.4.6 om deze kwetsbaarheid te verhelpen.
- Controleer regelmatig of er updates beschikbaar zijn voor alle WordPress plugins en pas deze onmiddellijk toe.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8488?
Het is een kwetsbaarheid die het mogelijk maakt voor aanvallers om zonder voldoende autorisatie instellingen aan te passen in de Ultimate Addons for Elementor plugin.
Welke systemen zijn kwetsbaar voor CVE-2025-8488?
Alle WordPress-systemen die de Ultimate Addons for Elementor plugin gebruiken tot en met versie 2.4.6.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar een versie boven 2.4.6 om het probleem te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan instellingen wijzigen die normaal gesproken buiten zijn autorisatie zouden liggen, wat een potentieel risico vormt voor de integriteit van de site-instellingen.
