Er is een belangrijke beveiligingskwetsbaarheid ontdekt in de WordPress thema’s van LiquidThemes, zoals ‘AI Hub’, ‘Hub’, en ‘ArcHub’. CVE-2025-0951 betreft het ontbreken van een autorisatiecontrole waardoor geauthenticeerde gebruikers met een abonneeniveau of hoger alle plugins op een site kunnen deactiveren.
Hoewel de ontwikkelaar een nonce-controle heeft toegevoegd, biedt dit niet voldoende bescherming omdat de nonce toegankelijk is voor alle gebruikers met dashboard toegang.
Overzicht
De kwetsbaarheid, gekenmerkt als CWE-862 (Missende Autorisatie), heeft een impactscore van 4.3 en wordt geclassificeerd als medium. Deze heeft betrekking op de ‘liquid_reset_wordpress_before’ AJAX-functionaliteit zonder adequate capaciteitscontrole.
Aanbevelingen
- Controleer uw WordPress thema-installaties en beperk indien mogelijk de toegang tot dashboard functies.
- Updates en beveiligingspatches moeten worden gecontroleerd bij LiquidThemes via hun ThemeForest-pagina.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-0951?
Dit betreft een beveiligingslek in bepaalde WordPress thema’s van LiquidThemes en maakt unauthorized toegang mogelijk.
Welke systemen zijn kwetsbaar voor CVE-2025-0951?
Thema’s zoals AI Hub, Hub en ArcHub zijn kwetsbaar als er geen verdere beveiligingsmaatregelen zijn genomen.
Bestaat er al een patch of beveiligingsupdate?
De ontwikkelaar heeft een eerste maatregel genomen, maar controleer regelmatig voor definitieve updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan alle plugins op uw site deactiveren als deze toegang heeft tot een abonneelidmaatschap of hoger.
