Platform
wordpress
Component
bsecure
Opgelost in
1.7.10
CVE-2025-6187 is a critical Privilege Escalation vulnerability affecting the bSecure WordPress plugin. An attacker can exploit this flaw to gain unauthorized access to user accounts by bypassing authentication checks within the plugin's order_info REST endpoint. This vulnerability impacts versions 1.3.7 through 1.7.9 of the bSecure plugin, and a patch has been released to address the issue.
De bSecure WordPress plugin heeft een kritieke Privilege Escalation kwetsbaarheid (CVE-2025-6187) waardoor ongeauthentiseerde aanvallers de controle over gebruikersaccounts kunnen overnemen. De kwetsbaarheid bevindt zich in de /webhook/v2/order_info/ REST endpoint, waar de permission callback functie altijd true retourneert, waardoor alle authenticatie wordt omzeild. Dit betekent dat een aanvaller, die de e-mailadres van een gebruiker kent, een geldig login cookie kan verkrijgen en zich daardoor als die gebruiker kan voordoen, gevoelige informatie kan benaderen en acties in naam van die gebruiker kan uitvoeren. De impact is ernstig, omdat de veiligheid van gebruikersaccounts en de integriteit van de website data in gevaar komt. Betrokken versies zijn 1.3.7 tot 1.7.9. Er is momenteel geen officiële fix beschikbaar.
Een aanvaller kan deze kwetsbaarheid uitbuiten door HTTP-verzoeken naar de /webhook/v2/order_info/ endpoint te sturen met het e-mailadres van een WordPress gebruiker. Het ontbreken van authenticatie stelt de aanvaller in staat om gevoelige accountinformatie te verkrijgen, waaronder persoonlijke gegevens, bestelhistorie en mogelijk betalingsinformatie. Deze informatie kan worden gebruikt voor identiteitsdiefstal, financiële fraude of om de beveiliging van de website verder in gevaar te brengen. De eenvoud van exploitatie, in combinatie met de ernst van de impact, maakt deze kwetsbaarheid een aanzienlijk risico voor websites die de bSecure plugin gebruiken.
Exploit Status
EPSS
0.56% (68% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix beschikbaar is, is de meest effectieve directe mitigatie om de bSecure plugin uit te schakelen totdat de ontwikkelaar een update publiceert. Als het noodzakelijk is om de plugin actief te houden, wordt ten zeerste aanbevolen om extra beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de /webhook/v2/order_info/ endpoint via een Web Application Firewall (WAF) of server-side firewall regels. Daarnaast is het raadzaam om wachtwoordbeleid te beoordelen en te versterken, two-factor authenticatie (2FA) in te schakelen voor alle gebruikers en de website te monitoren op tekenen van compromis. Het is ten zeerste aanbevolen om de plugin-ontwikkelaar te contacteren om een update aan te vragen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en implementeer mitigaties op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor deze specifieke kwetsbaarheid, gebruikt om deze te volgen en te refereren in beveiligingsrapporten.
Schakel de plugin onmiddellijk uit totdat een update beschikbaar is. Overweeg om een alternatieve plugin te gebruiken.
Implementeer extra beveiligingsmaatregelen zoals een WAF, firewall regels en two-factor authenticatie.
Momenteel is er geen officiële workaround. De meest effectieve mitigatie is het uitschakelen van de plugin.
Monitor de website activiteit, bekijk de toegangsprotocollen en zoek naar ongebruikelijke activiteit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.