Er is een kritiek beveiligingslek ontdekt in de HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin voor WordPress, geïdentificeerd als CVE-2025-7340. Dit lek maakt het mogelijk voor ongeauthenticeerde aanvallers om willekeurig bestanden te uploaden op de server van de getroffen site, wat kan leiden tot remote code-uitvoering.
Overzicht
Het probleem bestaat in alle versies tot en met 2.2.1 van de genoemde plugin. Door het ontbreken van een adequate validatie van bestandstypen in de temp_file_upload functie kan een aanvaller gevaarlijke bestanden uploaden die uitvoerbare code kunnen introduceren. Dit vestigt een ernstige bedreiging met een CVSS-score van 9.8.
Vraag en Antwoord
Welke systemen zijn kwetsbaar voor CVE-2025-7340?
Systemen die de HT Contact Form Widget plugin gebruiken met versie 2.2.1 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Tot nu toe is er geen officiële patch of update vrijgegeven door de ontwikkelaars. Het is aan te raden om alternatieve beveiligingsmaatregelen te overwegen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder authenticatie toegangen om gevaarlijke bestanden te uploaden die remote code en mogelijk uw gehele netwerk bedreigen.
