Een ernstig beveiligingslek (CVE-2025-5394) is ontdekt in het Alone – Charity Multipurpose Non-profit WordPress Theme. Dit thema, ontwikkeld door Bearsthemes, is kwetsbaar voor willekeurige bestanduploads vanwege het ontbreken van capaciteitscontrole in de alone_import_pack_install_plugin() functie. Dit maakt het mogelijk voor ongeauthenticeerde aanvallers om bestanden te uploaden die als plugins vermomde webshells bevatten, wat kan leiden tot remote code execution.
Overzicht
De kwetsbaarheid heeft een CVSS-score van 9.8, geclassificeerd als kritiek. Dit betekent dat aanvallers op afstand toegang kunnen krijgen tot uw website en mogelijk volledige controle kunnen overnemen zonder enige vorm van authenticatie.
Aanbevelingen
- Controleer of u de nieuwste versie van het thema gebruikt. Update indien mogelijk naar een veilige versie die deze kwetsbaarheid niet bevat.
- Beveilig uw WordPress-site door het beperken van bestandstoegangen en het regelmatig controleren van geüploade bestanden op verdachte inhoud.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5394?
Dit is een beveiligingslek in het Alone – Charity Multipurpose WordPress Theme waardoor aanvallers ongeautoriseerde bestanduploads kunnen uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-5394?
WordPress-installaties die het Alone-thema met versies tot en met 7.8.3 gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Gebruikers zouden moeten controleren bij de ontwikkelaar voor beschikbare updates die deze kwetsbaarheid verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke plugins uploaden en toegang krijgen tot de volledige server, waardoor gevoelige data in gevaar komt en de site mogelijk wordt overgenomen.
