De WPBookit plugin voor WordPress heeft een ernstige kwetsbaarheid (CVE-2025-6057) die ongeautoriseerde bestanduploads mogelijk maakt. Deze kwetsbaarheid treft alle versies tot en met 1.0.4, waar door ontbrekende bestandstypevalidatie een aanvaller met een ‘Subscriber’-niveau of hoger willekeurige bestanden op de server kan uploaden, wat mogelijk leidt tot remote code execution.
Overzicht
De kwetsbaarheid in WPBookit staat bekend als een ‘Unrestricted Upload of File with Dangerous Type’ (CWE-434). Het probleem bevindt zich in de functie handle_image_upload(), waar de ontbrekende validatie aanvallers in staat stelt bestanden zonder beperking te uploaden.
Risico’s
Met een CVSS score van 8.8 is deze beveiligingsfout als hoog gerisico-classificeerd. Dit houdt in dat een aanvaller volledige controle over uw systeem kan verkrijgen zonder directie interactie van de gebruiker.
Een aanvaller kan zonder uw weten toegang krijgen tot het hele netwerk.
Aanbevelingen
- Werk de WPBookit plugin bij naar een versie hoger dan 1.0.4.
- Controleer uw servers op verdachte uploads.
- Beperk de toegang tot Subscribers alleen tot noodzakelijke gebruikers.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6057?
Dit is een kritiek beveiligingslek in de WordPress plugin WPBookit dat ongeautoriseerde uploads mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-6057?
Systemen met de WPBookit plugin versie 1.0.4 en lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers moeten updaten naar een versie boven 1.0.4.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan arbitraire bestanden uploaden wat kan leiden tot toegang tot uw systeem of zelfs volledige controle.
