Er is een kritieke kwetsbaarheid ontdekt in de HT Contact Form Widget plugin voor Elementor en Gutenberg, met CVE-ID CVE-2025-7341. Deze kwetsbaarheid maakt het mogelijk voor niet-geauthenticeerde aanvallers om willekeurige bestanden op de server te verwijderen, wat kan leiden tot remote code execution. Dit brengt aanzienlijke risico’s met zich mee voor uw WordPress site.
De kwetsbaarheid bevindt zich in de temp_file_delete() functie in alle versies tot en met 2.2.1 van de plugin, waarbij onvoldoende validatie van bestandslocaties plaatsvindt.
Overzicht
De kwetsbaarheid laat aanvallers, zonder inloggegevens, kritieke bestanden zoals wp-config.php verwijderen, wat kan resulteren in volledige controle over de website door kwaadwillenden.
Aanbevelingen
- Update de HT Contact Form Widget plugin onmiddellijk naar de nieuwste versie boven 2.2.1.
- Controleer uw serverlogs op verdachte activiteiten, vooral op ongewone bestandswisselingen.
- Beperk toegang tot belangrijke bestanden en mappen op uw server.
Bronnen
Vraag en Antwoord
Welke systemen zijn kwetsbaar voor CVE-2025-7341?
Alle WordPress installaties die gebruik maken van de HT Contact Form Widget in versies tot en met 2.2.1.
Bestaat er al een patch of beveiligingsupdate?
Ja, update de plugin naar een versie hoger dan 2.2.1 om de kwetsbaarheid te dichten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan cruciale bestanden verwijderen zoals wp-config.php en zo mogelijk volledige controle over de website verkrijgen.
