De Work The Flow File Upload plugin voor WordPress bevat een kritiek beveiligingslek dat het mogelijk maakt voor niet-geauthenticeerde aanvallers om willekeurige bestanden te uploaden. Deze kwetsbaarheid, die voorkomt in alle versies tot en met 2.5.2, kan leiden tot het uitvoeren van externe code op de server van de getroffen website.
Dit probleem wordt veroorzaakt door een gebrek aan bestandstype-validatie in de jQuery-File-Upload-9.5.0 server- en testbestanden.
Overzicht
Het gaat om een CWE-434, waarbij er sprake is van ongecontroleerde uploads van gevaarlijke bestandstypen. De basis CVSS score is 9.8, wat de kwetsbaarheid als kritiek bestempelt.
Aanbevelingen
- Werk de plugin bij naar een veiligere versie zodra deze beschikbaar is.
- Overweeg externe file uploads tijdelijk uit te schakelen als er geen patch beschikbaar is.
- Voer een audit uit van de serverlogs om te controleren op verdachte activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2015-10138?
Het is een kwetsbaarheid in de Work The Flow File Upload plugin die ongecontroleerde bestandstypen toestaat.
Welke systemen zijn kwetsbaar voor CVE-2015-10138?
WordPress websites met de plugin in versies tot en met 2.5.2.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen patch bekend op het moment van publiceren. Blijf op de hoogte van updates via de officiële kanalen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk willekeurige code uitvoeren op de server, met alle bijbehorende risico’s zoals data diefstal of volledige controle over de website.
