Vchasno Kasa <= 1.0.3 - Kwetsbaarheid in machtiging onthuld
Geplaatst inBeveiligingsmeldingen

Vchasno Kasa <= 1.0.3 - Kwetsbaarheid in machtiging onthuld

De Vchasno Kasa-plugin voor WordPress is kwetsbaar voor ongeoorloofde toegang tot gegevens vanwege een ontbrekende controle op bevoegdheden in de functie mrkv_vchasno_kasa_wc_do_metabox_action() in alle versies tot en met versie 1.0.3. Hierdoor kunnen niet-geauthenticeerde aanvallers facturen genereren voor willekeurige bestellingen. Dit verhoogt het risico op fraude en verlies van gegevens.

Deze kwetsbaarheid, CVE-2025-6721, wordt gecategoriseerd als CWE-862: Ontbrekende Machtiging. Dit betekent dat systemen met deze plugin blootgesteld kunnen zijn aan ongeautoriseerde acties, met als gevolg mogelijke financiële schade voor uw bedrijf.

Overzicht

De kwetsbaarheid beïnvloedt alle installaties van de MORKVA Vchasno Kasa Integration tot en met versie 1.0.3. De kwetsbaarheid werd ontdekt door Phong Nguyen en heeft een CVSS-score van 5.3, wat als matig wordt beoordeeld. De kwetsbaarheid werd op 18 juli 2025 openbaar gemaakt na een melding aan de leverancier op 7 juli 2025.

Aanbevelingen

  • Verwijder de Vchasno Kasa-plugin of update naar een later gepatchte versie zodra deze beschikbaar is.
  • Controleer uw systemen op verdachte activiteiten rond orders en facturen die mogelijk door deze kwetsbaarheid zijn veroorzaakt.
  • Overweeg om tijdelijke beveiligingsmaatregelen voor uw WordPress-omgeving te implementeren tot een patch beschikbaar is.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-6721?

CVE-2025-6721 betreft een beveiligingslek in de Vchasno Kasa-plugin voor WordPress, waardoor niet-geauthenticeerde aanvallers facturen kunnen genereren zonder de juiste bevoegdheden.

Welke systemen zijn kwetsbaar voor CVE-2025-6721?

Alle systemen die de MORKVA Vchasno Kasa Integration tot en met versie 1.0.3 draaien, zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Er is momenteel geen gepatchte versie beschikbaar. Het wordt aanbevolen de plugin te verwijderen tot een update beschikbaar is.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan ongeautoriseerd facturen genereren voor willekeurige bestellingen, wat kan leiden tot financiële en dataverlies.

Tags: