De Madara – Core plugin voor WordPress heeft een ernstig beveiligingslek dat aanvallers in staat stelt om willekeurige bestanden te verwijderen en mogelijk tot remote code execution kan leiden. Dit lek heeft betrekking op alle versies tot en met 2.2.3.
Deze kwetsbaarheid maakt gebruik van onvoldoende bestandspadvalidatie in de wp_manga_delete_zip() functie. Hierdoor kunnen niet-geauthenticeerde aanvallers bestanden zoals wp-config.php verwijderen, met mogelijk verstrekkende gevolgen.
Overzicht
- Score CVSS: 9.1/10 (Kritiek)
- Type kwetsbaarheid: Onvoldoende beperking van een padnaam tot een beperkte directory (‘Path Traversal’)
- Getroffen product: Madara – Core plugin, versie ≤ 2.2.3
- Ontdekker: Thái An
Aanbevelingen
- Update onmiddellijk naar de nieuwste versie van de Madara – Core plugin zodra een patch beschikbaar is.
- Controleer of er kritieke bestanden zijn verwijderd, zoals
wp-config.php, en herstel deze indien nodig vanuit een back-up.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7712?
CVE-2025-7712 betreft een kwetsbaarheid in de Madara – Core plugin waarmee aanvallers ongeoorloofd bestanden kunnen verwijderen.
Welke systemen zijn kwetsbaar voor CVE-2025-7712?
Alle systemen met de Madara – Core plugin versies tot en met 2.2.3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Tot dusver is geen patch beschikbaar gesteld. Blijf de officiële kanalen volgen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kritieke bestanden zoals wp-config.php verwijderen, wat kan leiden tot verdere aanvallen zoals remote code execution.
