De WoodMart WordPress-thema tot en met versie 8.2.6 is kwetsbaar voor een zwakke invoervalidatie in de woodmart_update_cart_item functie. Hierdoor kunnen ongeauthenticeerde aanvallers winkelwagenhoeveelheden manipuleren met fractiewaarden, waardoor producten gratis kunnen worden verkregen.
Overzicht
De kwetsbaarheid, aangeduid als CVE-2025-8097, bevindt zich in de woodmart_update_cart_item functie van het WoodMart-thema. Aanvallers kunnen deze functie misbruiken door zeer kleine fracties als hoeveelheden in te stellen, zoals 0.00001, wat leidt tot een winkelwagentotaal van $0.00. Dit stelt hen in staat om virtuele of downloadbare producten zonder betaling te verkrijgen.
Aanbevelingen
- Deze kwetsbaarheid kan worden opgelost door een update uit te voeren naar een versie die hoger is dan 8.2.6 zodra deze beschikbaar is.
- Controleer de systeemconfiguraties om ervoor te zorgen dat gebruikersinvoer correct wordt gevalideerd en beperk toegestane invoer tot redelijke waarden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8097?
CVE-2025-8097 beschrijft een kwetsbaarheid in het WoodMart-thema van WordPress waarbij onvoldoende invoervalidatie het mogelijk maakt voor ongeauthenticeerde winkelwagenmanipulatie.
Welke systemen zijn kwetsbaar voor CVE-2025-8097?
Alle versies van het WoodMart-thema tot en met versie 8.2.6 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is een update nodig die hoger is dan versie 8.2.6 wanneer beschikbaar om de kwetsbaarheid op te lossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Door de kwetsbaarheid kan een aanvaller producten gratis verkrijgen door de hoeveelheid in de winkelwagen te manipuleren.
