Een ernstige kwetsbaarheid is ontdekt in de Woffice Core-plugin voor WordPress (CVE-2025-7694). Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers met toegang op niveau van bijdrager of hoger om willekeurige bestanden van de server te verwijderen. Dit kan leiden tot externe code-uitvoering, vooral als belangrijke bestanden zoals wp-config.php worden verwijderd.
Overzicht
De kwetsbaarheid wordt veroorzaakt door onvoldoende validatie van het bestandspad in de woffice_file_manager_delete() functie. Alle versies tot en met 5.4.26 zijn getroffen. De kwetsbaarheid heeft een CVSS-score van 6.8, wat als ‘Middel’ wordt beschouwd.
Aanbevelingen
- Update de Woffice Core plugin naar een versie hoger dan 5.4.26 om deze kwetsbaarheid te verhelpen.
- Controleer gebruikersrechten en beperk toegang voor bijdragers tot een minimum.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7694?
Dit is een kwetsbaarheid die willekeurige bestandsverwijdering toestaat door gebruikers met voldoende rechten in de Woffice Core-plugin voor WordPress.
Welke systemen zijn kwetsbaar voor CVE-2025-7694?
Alle systemen die draaien met Woffice Core plugin versies tot en met 5.4.26 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om de plugin te updaten naar een veilige versie boven 5.4.26.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan belangrijke bestanden verwijderen, wat kan leiden tot de uitvoering van kwaadaardige code op de server.
