Er is een kritiek beveiligingsprobleem ontdekt in de HT Contact Form Widget voor Elementor en Gutenberg Blocks, dat hackers toestaat om willekeurige bestanden op de server te verplaatsen. Dit kan leiden tot de uitvoering van kwaadaardige code, vooral als gevoelige bestanden zoals wp-config.php worden verplaatst, zonder dat de aanvaller authenticatie nodig heeft (CVE-2025-7360).
Een aanvaller kan hierdoor zonder uw weten toegang krijgen tot het hele netwerk. Controleer uw systemen vandaag nog om mogelijke risico’s te vermijden.
Overzicht
HT Contact Form Widget voor Elementor Page Builder & Gutenberg Blocks & Form Builder. toont kwetsbaarheden voor arbitraire bestandsverplaatsing vanwege een onvoldoende padvalidatie in de handle_files_upload() functie in alle versies tot en met 2.2.1.
Impactanalyse
- Zeer eenvoudig te exploiteren door een aanvaller zonder authenticatie.
- Kan leiden tot uitvoering van kwaadwillende code (remote code execution).
- Base Score CVSS: 9.1 (Kritiek)
Aanbevelingen
- Update onmiddellijk naar een nieuwere versie die dit probleem adresseert zodra beschikbaar.
- Controleer of er op uw server geen verdachte wijzigingen zijn aangebracht, met name in cruciale bestanden zoals
wp-config.php.
Bronnen
- Meer informatie over deze kwetsbaarheid op Wordfence
- Plugin pagina op WordPress.org
- Details van de codewijziging
Vraag en Antwoord
Wat is CVE-2025-7360?
Dit is een kritiek beveiligingslek in een WordPress-plugin die kan leiden tot ongeautoriseerde bestandsverplaatsing.
Welke systemen zijn kwetsbaar voor CVE-2025-7360?
Alle systemen die de HT Contact Form Widget versie 2.2.1 of ouder gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen patch beschikbaar. Gebruik in de tussentijd andere beveiligingsmaatregelen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden verplaatsen om toegang en controle te krijgen over uw WordPress installatie.
