De Simple Backup plugin voor WordPress heeft een kritieke kwetsbaarheid ontdekt, aangeduid als CVE-2015-10134, waardoor een aanvaller willekeurige bestanden kan downloaden. Deze kwetsbaarheid treedt op in versies tot en met 2.7.10 door het ontbreken van capaciteitscontroles en een juiste controle van bestandstypes. Hierdoor kunnen aanvallers gevoelige bestanden zoals wp-config.php van de getroffen site downloaden, wat kan leiden tot ernstige inbreuken op de gegevens.
Overzicht
In de Simple Backup Plugin versie 2.7.10 en eerder, maakt de functie download_backup_file het mogelijk om zonder de juiste bevoegdheden en bestandsvalidatie beschermde bestanden te downloaden. Deze kwetsbaarheid valt onder ‘Path Traversal’, ook bekend als CWE-22.
Aanbevelingen
- Update de Simple Backup plugin naar versie 2.7.11 of hoger om deze kwetsbaarheid te verhelpen.
- Controleer of uw WordPress-back-up plugins up-to-date zijn en voldoen aan de nieuwste beveiligingsnormen.
Bronnen
Vraag en Antwoord
Wat is CVE-2015-10134?
CVE-2015-10134 is een kwetsbaarheid in de Simple Backup plugin voor WordPress die het mogelijk maakt voor aanvallers om willekeurige bestanden van de server te downloaden.
Welke systemen zijn kwetsbaar voor CVE-2015-10134?
Alle WordPress-installaties met de Simple Backup plugin versie 2.7.10 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, door de plugin te updaten naar versie 2.7.11 of hoger, kan de kwetsbaarheid worden verholpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot en gevoelige bestanden downloaden, zoals wp-config.php, die essentiële informatie bevatten om toegang te krijgen tot de WordPress-website en databases.
