Er is een kritieke kwetsbaarheid ontdekt in de WP Mobile Detector plugin voor WordPress die kan leiden tot willekeurige bestandsuploads. Dit kan remote code execution mogelijk maken, waardoor kwaadwillenden ongecontroleerde toegang tot uw systeem kunnen krijgen. Alle versies tot en met 3.5 zijn kwetsbaar.
Overzicht
De kwetsbaarheid, CVE-2016-15043, bevindt zich in de manier waarop de resize.php bestandstype-validatie uitvoert. Dit probleem stelt niet-geauthenticeerde aanvallers in staat om willekeurige bestanden naar de server te uploaden.
Aanbevelingen
- Update naar een nieuwere versie van de WP Mobile Detector Plugin als deze beschikbaar is.
- Beperk de toegang tot de resize.php door gebruik te maken van .htaccess-regels.
- Scan uw site op ongebruikelijke of onverwachte bestandstypes.
