Een kritiek beveiligingslek, aangeduid als CVE-2015-10137, is ontdekt in de ‘Website Contact Form With File Upload’ plugin van WordPress. Dit probleem stelt niet-geauthenticeerde aanvallers in staat om willekeurige bestanden te uploaden naar de server van de getroffen websites, wat tot externe code-uitvoering kan leiden.
Het betreft de versie 1.3.4 en lager van de plugin, waar een ontbrekende validatie van bestandstypen in de upload_file() functie het lek heeft veroorzaakt. Het is cruciaal voor websites die deze plugin gebruiken om onmiddellijk actie te ondernemen.
Overzicht
De kwetsbaarheid maakt gebruik van CWE-434, wat verwijst naar het onbegrensd uploaden van bestanden met een gevaarlijk type. Dit brengt de integriteit en beschikbaarheid van de getroffen systemen ernstig in gevaar.
Aanbevelingen
- Deactiveer of verwijder direct de ‘Website Contact Form With File Upload’ plugin indien je deze gebruikt.
- Controleer of er een bijgewerkte versie beschikbaar is die deze kwetsbaarheid verhelpt en update naar deze versie.
Bronnen
- Wordfence Threat Intelligence
- Homelab.IT
- Packet Storm Security
- Packet Storm Security
- Acunetix Vulnerability
Vraag en Antwoord
Wat is CVE-2015-10137?
Het is een kritieke kwetsbaarheid in de ‘Website Contact Form With File Upload’ plugin, waarbij aanvallers willekeurige bestanden naar de server kunnen uploaden.
Welke systemen zijn kwetsbaar voor CVE-2015-10137?
Alle WordPress-installaties die gebruikmaken van de ‘Website Contact Form With File Upload’ plugin in versies tot en met 1.3.4 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het is aan te raden om de plugin te deactiveren of te verwijderen totdat er een patch beschikbaar komt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder enige vorm van authenticatie schadelijke bestanden uploaden, die kunnen leiden tot volledige overname van de server.
