Een nieuw kritiek lek is ontdekt in de WordPress plugin BitFire Security, die tot en met versie 4.5 kwetsbaar is voor informatie-exposure. Dit lek, geïdentificeerd als CVE-2025-6722, maakt het mogelijk voor ongeauthenticeerde aanvallers om toegang te krijgen tot gevoelige bestanden zoals config.ini en debug.log zonder enige toegangsbeperkingen. Hierdoor kan een aanvaller potentieel gevoelige gegevens blootstellen die opgeslagen zijn in de bitfire_* directory.
Overzicht
De kwetsbaarheid betreft het ophalen van gevoelige informatie zonder geverifieerde toegang, mede door de manier waarop BitFire automatisch bestanden opslaat zonder adequate beveiliging.
Aanbevelingen
- Controleer of BitFire versie 4.5 of lager wordt gebruikt en overweeg een upgrade zodra een update beschikbaar is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6722?
Het is een kwetsbaarheid in BitFire Security die gevoelige informatie zonder restricties toegankelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-6722?
Alle systemen die de BitFire plugin versie 4.5 of lager gebruiken zijn getroffen.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment geen patch uitgebracht. Controleer regelmatig de beschikbaarheid van een update.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige gegevens zoals configuratie- en logbestanden zonder toestemming inzien en potentieel misbruiken.
