De hiWeb Export Posts plugin voor WordPress, in alle versies tot en met 0.9.0.0, bevat een ernstige kwetsbaarheid voor Cross-Site Request Forgery (CSRF). Hierdoor kunnen aanvallers onrechtmatig bestanden op de server verwijderen via een vervalst verzoek. Dit is mogelijk door ontbrekende of incorrecte nonce-validatie in het bestand tool-dashboard-history.php op de server.
Als een aanvaller de wp-config.php verwijdert, kan dit leiden tot Remote Code Execution, een zeer ernstige bedreiging met een CVSS-score van 8.1.
Overzicht
De kwetsbaarheid in hiWeb Export Posts versie 0.9.0.0 en lager kan ertoe leiden dat aanvallers op afstand willekeurige bestanden van de server verwijderen. Gebruikers moeten de dreiging serieus nemen, vooral omdat geen authenticatie nodig is voor misbruik.
Aanbevelingen
- Update naar een veilige versie van de plugin zodra deze beschikbaar is.
- Vermijd het gebruik van onveilige versies en volg de officiële plugin-pagina voor updates.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7640?
Dit is een identificatiecode voor een specifieke kwetsbaarheid in de hiWeb Export Posts plugin, met een hoge impact op de beveiliging.
Welke systemen zijn kwetsbaar voor CVE-2025-7640?
Alle WordPress-installaties met de hiWeb Export Posts plugin tot en met versie 0.9.0.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Volg de officiële plugin-pagina op WordPress voor updates en patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder noodzakelijke authenticatie willekeurige bestanden wissen, wat kan resulteren in Remote Code Execution.
