Er is een kritiek beveiligingslek ontdekt in de WordPress plugin Formality, versie 1.5.9 en eerder, dat kwaadwillenden in staat stelt om lokale bestanden in te sluiten via de PHP Remote File Inclusion techniek. Deze kwetsbaarheid, aangeduid als CVE-2025-48157, kan ernstige gevolgen hebben voor uw website.
Met een CVSS-score van 8.1 wordt het risico als hoog gecategoriseerd. Zonder interactie van de gebruiker kunnen aanvallers gevoelige gegevens blootleggen en de integriteit en beschikbaarheid van uw website compromitteren.
Overzicht
De kwetsbaarheid, geïdentificeerd als CWE-98, ligt in de gebrekkige controle over bestandsnamen bij include/require statements in PHP-programma’s. Dit leidt tot een ‘PHP Local File Inclusion’ aanval, wat potentieel verwoestende gevolgen heeft voor uw data-integriteit en beveiliging.
Aanbevelingen
Het is aan te raden om de WordPress Formality plugin zo spoedig mogelijk bij te werken naar tenminste versie 1.5.10. Door te updaten, voorkomt u dat deze kwetsbaarheid uitgebuit kan worden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-48157?
Dit is een kwetsbaarheid in de WordPress Formality plugin waardoor lokale bestanden ongeautoriseerd ingesloten kunnen worden, wat kan leiden tot datalekken en andere beveiligingsproblemen.
Welke systemen zijn kwetsbaar voor CVE-2025-48157?
Alle systemen die gebruikmaken van de WordPress Formality plugin versie 1.5.9 of eerder zijn gevoelig voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update beschikbaar. Het updaten naar versie 1.5.10 verhelpt de kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot gevoelige bestanden op uw server, wat kan leiden tot gegevensverlies of misbruik van serverbronnen.
