Er is een ernstige beveilgingslek ontdekt in de Cloudflare Image Resizing plugin voor WordPress, bekend als CVE-2025-8723. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurige PHP-code uit te voeren binnen de codebasis van de website. Dit komt door ontbrekende authenticatie en onvoldoende sanitisatie in de hook_rest_pre_dispatch() methode, tot en met versie 1.5.6.
Door misbruik van deze kwetsbaarheid kunnen aanvallers op afstand code uitvoeren zonder medeweten van de eigenaar, met mogelijk volledige overname van het systeem.
Overzicht
De kwetsbaarheid heeft een CVSS-score van 9.8, wat als kritiek wordt beoordeeld. De plugin is vatbaar voor Remote Code Execution (RCE) wanneer niet-authenticeerde gebruikers erin slagen om binnen te dringen.
Aanbevelingen
- Werk de Cloudflare Image Resizing plugin bij naar een versie hoger dan
1.5.6zodra een patch beschikbaar is.
Bronnen
- Wordfence Vulnerabilities Details
- WordPress Plugin Developers
- WordPress Plugin Trac Changeset 3337593
- WordPress Plugin Trac Changeset 3341917
Vraag en Antwoord
Wat is CVE-2025-8723?
CVE-2025-8723 is een kritieke kwetsbaarheid in de Cloudflare Image Resizing plugin die Remote Code Execution (RCE) mogelijk maakt. Dit kan leiden tot volledige controle over een WordPress site door een aanvaller.
Welke systemen zijn kwetsbaar voor CVE-2025-8723?
Alle WordPress sites die versie 1.5.6 of lager van de Cloudflare Image Resizing plugin gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen patch beschikbaar. U dient alert te zijn op updates van de pluginontwikkelaars.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongecontrooleerd code uitvoeren en mogelijk volledige toegang krijgen tot de server en gegevens beheren of wijzigen.
Dit lek kan leiden tot volledige systeemcompromittering zonder tussenkomst van de gebruiker.
