In de nieuwste versie van Pluck CMS 4.7.20-dev is er een kritieke kwetsbaarheid ontdekt waardoor een geauthenticeerde aanvaller kwaadaardige PHP-bestanden kan uploaden. Deze kwetsbaarheid, aangeduid als CVE-2025-46099, stelt een aanvaller in staat om via een speciaal geprepareerde bestand arbitraire opdrachten uit te voeren.
Overzicht
De kwetsbaarheid bevindt zich in de albums module van Pluck CMS, waar een aanvaller kwaadaardige code kan plaatsen en uitvoeren via de module-routing logica in albums.site.php. De aanval kan worden uitgevoerd via netwerkaanvallen, zonder dat gebruikersinteractie vereist is.
Impactanalyse
- CVSS Score: 7.1 – hoog
- Aanvalvector: Netwerk
- Complexiteit van de aanval: Laag
- Vereiste privileges: Laag
- Vertrouwelijkheidsimpact: Hoog
- Integriteitsimpact: Laag
- Beschikbaarheidsimpact: Geen
Aanbevelingen
Het is cruciaal dat gebruikers van Pluck CMS de toegang tot de albums module beperken, vooral totdat een officiële patch beschikbaar is. Overweeg het volgen van de officiële Pluck CMS aankondigingen voor verdere updates.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-46099?
Dit is een kritieke kwetsbaarheid in Pluck CMS die toestaat dat een aanvaller schadelijke PHP-bestanden uploadt en uitvoert.
Welke systemen zijn kwetsbaar voor CVE-2025-46099?
Alle systemen die Pluck CMS 4.7.20-dev gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er nog geen officiële patch vrijgegeven. Volg de officiële communicatiekanalen van Pluck CMS voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan arbitraire opdrachten uitvoeren via een speciaal gemaakt PHP-bestand, wat kan leiden tot ongeautoriseerde toegang tot uw systemen.
