Een kritisch lek is ontdekt in het Zakra-thema voor WordPress, waardoor ongeautoriseerde gegevenswijzigingen mogelijk zijn. Het betreft een kwetsbaarheid (CVE-2025-8595) in alle versies tot en met 4.1.5, waarbij geauthenticeerde aanvallers met ten minste abonneeniveau demoinstellingen kunnen importeren zonder de juiste bevoegdheidscontrole.
Overzicht
De kwetsbaarheid betreft een ontbrekende machtigingscontrole in de functie welcome_notice_import_handler(). Deze fout maakt het voor aanvallers met minimaal abonneeniveau mogelijk om demoinstellingen te importeren, wat een beveiligingsrisico vormt voor uw WordPress-site indien u het Zakra-thema gebruikt.
Aanbevelingen
- Update naar de nieuwste versie van het Zakra-thema (4.1.6 of hoger) om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8595?
CVE-2025-8595 is een beveiligingslek in het Zakra-thema voor WordPress waarbij onvoldoende machtigingscontrole plaatsvindt, waardoor ongeautoriseerde demo-import mogelijk is voor gebruikers met minimaal abonneeniveau.
Welke systemen zijn kwetsbaar voor CVE-2025-8595?
Systemen met het Zakra-thema versie 4.1.5 en lager zijn kwetsbaar voor deze fout.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een beveiligingsupdate beschikbaar in de nieuwere versie 4.1.6 van het Zakra-thema.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan demoinstellingen zonder toestemming importeren, wat kan leiden tot ongewenste wijzigingen of zelfs malafide inhoud op uw website.
Controleer uw systemen vandaag nog en zorg ervoor dat u het Zakra-thema up-to-date houdt om beveiligingsrisico’s te vermijden.
