Een ernstige kwetsbaarheid is ontdekt in Filemanager versie 2.3.0, geïdentificeerd als CVE-2025-46001. Deze kwetsbaarheid stelt kwaadwillenden in staat om willekeurige code uit te voeren door een speciaal geprepareerd PHP-bestand te uploaden via de is_allowed_file_type() functie. Dit kan leiden tot volledige controle over het getroffen systeem.
Overzicht
De kwetsbaarheid stelt een aanvaller in staat gebruik te maken van een bestaand lek in de manier waarop de bestandstypen gecontroleerd worden. Hierdoor kunnen bestanden die in werkelijkheid gevaarlijke scripts zijn, succesvol worden geüpload en uitgevoerd.
Aanbevelingen
- Controleer of u de laatste updates en patches voor Filemanager v2.3.0 heeft geïnstalleerd.
- Blokkeer de uitvoering van scripts in uploadmappen als tijdelijke maatregel.
- Overweeg het gebruik van alternatieve oplossingen die geen last hebben van dit specifieke probleem.
Bronnen
- Officiële GitHub repository van Filemanager
- Exploit-DB overzicht
- Gedetailleerde beschrijving van de kwetsbaarheid
Vraag en Antwoord
Wat is CVE-2025-46001?
CVE-2025-46001 is een kwetsbaarheid in Filemanager v2.3.0 die het mogelijk maakt voor aanvallers om ongeautoriseerde bestanden te uploaden en uit te voeren.
Welke systemen zijn kwetsbaar voor CVE-2025-46001?
Alle systemen die Filemanager v2.3.0 gebruiken zijn potentieel kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het is aan te raden de officiële documentatie van Filemanager te volgen voor updates en patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid volledige controle over het systeem krijgen, met mogelijk catastrofale gevolgen.
