Een ernstig beveiligingslek, aangeduid als CVE-2025-6441, is ontdekt in de WebinarIgnition plugin voor WordPress. Bij gebrek aan de juiste machtigingscontrole kunnen ongeauthenticeerde aanvallers logintokens genereren en zodoende toegang krijgen tot willekeurige WordPress-gebruikersaccounts, wat kan resulteren in een authenticatieomzeiling.
Overzicht
De kwetsbaarheid bevindt zich in alle versies tot en met 4.03.31 van de WebinarIgnition plugin, door toedoen van ontbrekende authorisatie controles in de functies webinarignition_sign_in_support_staff en webinarignition_register_support. Hierdoor kunnen kwaadwillenden toegangs- en autorisatiecookies zonder authenticatie creëren.
De kritieke aard van deze kwetsbaarheid, met een CVSS-score van 9.8, betekent dat onmiddellijke actie is vereist om risico’s op ongeoorloofde toegang tot uw systeem te beperken.
Aanbevelingen
- Controleer of uw versie van WebinarIgnition verouderd is. Bij gebruik van versie 4.03.31 of ouder, update onmiddellijk naar een beveiligde versie zodra beschikbaar.
- Overweeg tijdelijke beveiligingsmaatregelen, zoals het beperken van toegang tot de plugingegevens en de gebruikersbeheerpagina’s.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6441?
Het is een gerapporteerde beveiligingskwetsbaarheid in de WebinarIgnition plugin, die ongeauthenticeerde inlogtoegang mogelijk kan maken door het ontbreken van specifieke machtigingscontroles.
Welke systemen zijn kwetsbaar voor CVE-2025-6441?
Alle systemen die gebruikmaken van de WebinarIgnition plugin versie 4.03.31 of ouder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer of er al een officiële update is vrijgegeven door de leverancier. Tot die tijd, implementeer alternatieve beveiligingsmaatregelen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan logintokens genereren, en de volledige controle overnemen van WordPress gebruikersaccounts.
