Een kwetsbaarheid is ontdekt in de WordPress-plugin Custom Query Shortcode, waarbij het mogelijk is voor geauthenticeerde aanvallers met ten minste bijdrager toegang, om in versies tot en met 0.4.0 bestanden in te zien via de lens parameter. Deze kwetsbaarheid kan gevoelige informatie blootleggen die op de server is opgeslagen.
Overzicht
De kwetsbaarheid, geïdentificeerd als CVE-2025-8562, komt voor in alle versies van de plugin Custom Query Shortcode tot en met 0.4.0. Het probleem is dat aanvallers met bijdragerrechten of hoger gebruik kunnen maken van path traversal om gevoelige bestanden op de server te lezen.
Aanbevelingen
- Bijwerken: Controleer of er een update beschikbaar is voor de plugin en voer deze onmiddellijk uit.
- Toegangsbeheer: Beperk de toegang tot het bijdrager niveau voor gebruikers die het niet nodig hebben voor hun werk.
Bronnen
- Wordfence Security Advisory
- Initiële code van de plugin
- WordPress plugin pagina
- Wijzigingsrapport
- GitHub pull request
Vraag en Antwoord
Wat is CVE-2025-8562?
Deze CVE verwijst naar een path traversal kwetsbaarheid in de Custom Query Shortcode plugin.
Welke systemen zijn kwetsbaar voor CVE-2025-8562?
Systemen die de Custom Query Shortcode plugin tot en met versie 0.4.0 gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Tot nu toe is er nog geen patch vrijgegeven, maar het wordt aanbevolen om de plugin te updaten zodra er een update beschikbaar komt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden op de server lezen die mogelijk gevoelige informatie bevatten.
