Kritische Schwachstelle im WordPress-Plugin „Restrict Content“ legt Stripe-Geheimnisse offen

Im WordPress-Plugin Membership Plugin – Restrict Content wurde eine schwerwiegende Sicherheitslücke entdeckt, die alle Versionen bis einschließlich 3.2.16 betrifft. Die unter CVE-2025-14844 geführte Schwachstelle erlaubt aufgrund fehlender Authentifizierungs- und Berechtigungsprüfungen einen unautorisierten Zugriff auf sensible Daten.

Konkret fehlt in der Funktion rcp_stripe_create_setup_intent_for_saved_card eine Capability-Prüfung. Zusätzlich wird ein vom Nutzer kontrollierbarer Schlüssel nicht validiert, wodurch es für nicht authentifizierte Angreifer möglich ist, Stripe SetupIntent client_secret-Werte beliebiger Mitgliedschaften auszulesen. Dies kann zur Offenlegung sensibler Zahlungsinformationen führen und stellt ein hohes Risiko für die Vertraulichkeit dar.

Die Schwachstelle wird mit einem CVSS-Score von 8,2 als hoch eingestuft und ist ohne Benutzerinteraktion sowie ohne vorherige Authentifizierung ausnutzbar. Administratoren von WordPress-Websites, die das Plugin einsetzen, sollten umgehend prüfen, ob ein Sicherheitsupdate verfügbar ist oder das Plugin vorübergehend deaktivieren, um einen möglichen Missbrauch zu verhindern.

Related Posts

CVE-2026-20824 Windows Remote Assistance umgeht Downloadprüfung

Microsoft hat eine Schwachstelle in Windows Remote Assistance behoben, die es Angreifern ermöglicht, die Mark-of-the-Web-(MOTW)-Schutzmechanismen zu umgehen. Die unter CVE-2026-20824 geführte Lücke wird als Fehler in einem Schutzmechanismus eingestuft und besitzt einen CVSS-Score von 5,5.

Read More

Facebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik

Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.

Read More

HPE OneView: Kritische Code-Injection ermöglicht unauthentifizierte Remote-Code-Ausführung

Hewlett Packard Enterprise warnt vor einer kritischen Sicherheitslücke in HPE OneView, die es entfernten, nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen. Die Schwachstelle wird unter CVE-2025-37164 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Read More