Er is een ernstige kwetsbaarheid ontdekt in de File Manager, Code Editor en Backup plugin van Managefy voor WordPress, gedocumenteerd onder CVE-2025-9345. Deze kwetsbaarheid maakt path traversal mogelijk voor geauthenticeerde gebruikers met een Subscriber-niveau toegang of hoger, waardoor ze acties kunnen ondernemen op bestanden buiten de beoogde directory. Dit betreft alle versies tot en met 1.4.8.
Overzicht
De ajax_downloadfile() functie binnen deze plugin is kwetsbaar voor een path traversal exploit, wat wordt geclassificeerd onder CWE-22. Hierdoor kunnen aanvallers toegang krijgen tot gevoelige bestanden, waardoor er een potentieel risico ontstaat voor privacy en beveiliging.
Aanbevelingen
- Update de plugin naar een nieuwere versie zodra er een patch beschikbaar komt.
- Beperk de toegang tot het beheren van plugins uitsluitend tot bevoegde beheerders.
- Monitor uw logs regelmatig op verdachte activiteiten binnen uw WordPress-installatie.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-9345?
Dit is een bekende kwetsbaarheid in de Managefy-plugin die path traversal mogelijk maakt, met gevolgen voor de beveiliging van gegevens.
2. Welke systemen zijn kwetsbaar voor CVE-2025-9345?
Alle WordPress-installaties die gebruik maken van versies van de plugin tot en met 1.4.8 zijn kwetsbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Er moet nog een patch worden uitgebracht door de ontwikkelaar. Houd hun updates in de gaten voor een oplossing.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot en acties uitvoeren op bestanden buiten de door de plugin bedoelde directory, wat een risico vormt voor de databeveiliging.
