Platform
wordpress
Component
woffice
Opgelost in
5.4.22
CVE-2025-2798 beschrijft een ernstige authenticatie bypass kwetsbaarheid in de Woffice CRM WordPress theme. Deze kwetsbaarheid stelt ongeauthentiseerde aanvallers in staat om zich te registreren met een Administrator rol, wat resulteert in ongeautoriseerde toegang en controle over het systeem. De kwetsbaarheid treedt op in versies van Woffice CRM 0.0.0 tot en met 5.4.21, en is verholpen in versie 5.4.22.
De impact van deze authenticatie bypass is aanzienlijk. Een succesvolle exploitatie stelt een aanvaller in staat om een Administrator account te creëren zonder enige verificatie. Dit geeft de aanvaller volledige controle over de Woffice CRM installatie, inclusief toegang tot gevoelige data, configuratie wijzigingen en de mogelijkheid om kwaadaardige code uit te voeren. In combinatie met CVE-2025-2797 kan dit de user approval process omzeilen, waardoor de aanvaller nog verder kan doordringen in het systeem. De kwetsbaarheid is vergelijkbaar met andere authenticatie bypass kwetsbaarheden waarbij misconfiguraties in roltoewijzing worden uitgebuit.
CVE-2025-2798 is openbaar bekend en heeft een hoge CVSS score. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zullen verschijnen. De kwetsbaarheid is gepubliceerd op 2025-04-04. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid uitbuiten.
Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.
• wordpress / composer / npm:
wp plugin list | grep woffice• wordpress / composer / npm:
wp plugin update woffice• wordpress / composer / npm:
grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_userdisclosure
patch
Exploit Status
EPSS
1.05% (77% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-2798 is het upgraden van Woffice CRM naar versie 5.4.22 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de registratie functie of het implementeren van strengere validatie checks op de registratie formulier. Gebruik een Web Application Firewall (WAF) om verdachte registratie pogingen te blokkeren. Controleer de configuratie van de login formulieren om er zeker van te zijn dat de juiste rollen zijn uitgesloten. Na de upgrade, bevestig de correcte werking door een poging te wagen om je te registreren met een Administrator rol via een aangepaste login formulier.
Werk het Woffice CRM thema bij naar versie 5.4.22 of hoger om de authenticatie bypass kwetsbaarheid te verhelpen. Deze update pakt de verkeerde configuratie van de uitgesloten rollen tijdens registratie aan, waardoor voorkomt dat niet-geauthenticeerde aanvallers zich registreren met administrator privileges.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2798 is a critical vulnerability in Woffice CRM allowing unauthenticated attackers to register with Administrator roles due to a misconfigured registration process.
If you are using Woffice CRM versions 0.0.0 through 5.4.21, you are affected by this vulnerability and must upgrade immediately.
Upgrade Woffice CRM to version 5.4.22 or later to resolve the Authentication Bypass vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories.
Refer to the official Woffice CRM website or WordPress plugin repository for the latest security advisory and update information regarding CVE-2025-2798.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.