Er is een kritieke kwetsbaarheid ontdekt in de WordPress-plugin Subscribe to Comments, waarbij versies tot en met 2.1.2 kwetsbaar zijn voor Local File Inclusion (LFI). Met CVE-2015-10133 kunnen geauthenticeerde aanvallers met administratieve rechten willekeurige bestanden op de server insluiten en uitvoeren.
Overzicht
Het probleem zit in de manier waarop de plugin het Path to header behandelt, waarmee aanvallers PHP-code kunnen uitvoeren binnen geüploade bestanden die als veilig worden beschouwd, zoals afbeeldingen. Dit kan leiden tot het omzeilen van toegangsmiddelen en het verkrijgen van gevoelige informatie.
Impact
De kwetsbaarheid heeft een hoge score van 7.2 op de CVSS-schaal, wat de ernst ervan onderstreept. Gecombineerd met eenvoudige toegangseisen, kan dit leiden tot aanzienlijke schade.
Aanbevelingen
- Werk de plugin onmiddellijk bij naar een nieuwer versie dan 2.1.2.
- Beveilig uw admin-gedeelte om ongeautoriseerde toegang te voorkomen.
