Een ernstige kwetsbaarheid (CVE-2025-34085) in de Simple File List plugin voor WordPress, versies ouder dan 4.2.3, laat aanvallers zonder authenticatie toe om vanop afstand code uit te voeren. Dit kritieke beveiligingslek kan misbruikt worden via onbeperkte bestandsuploads, waardoor een aanvaller schadelijke code op uw server kan plaatsen zonder uw medeweten.
Onderliggend maakt de plugin gebruik van het ee-upload-engine.php endpoint, dat ontbrekende restricties heeft na bestandshernoeming. Hierdoor kunnen kwaadwillenden een PHP-payload vermomd als een .png-bestand uploaden en de .php-extensie herstellen om het uitvoerbaar te maken op de server.
Overzicht
De kwetsbaarheid wordt veroorzaakt door onvoldoende validatie tijdens het hernoemen van bestanden, waardoor aanvallers de upload restricties kunnen omzeilen. Het resultaat is dat een kwaadwillende gebruiker in staat is om de server op afstand over te nemen.
Aanbevelingen
- Update de Simple File List plugin zo snel mogelijk naar versie 4.2.3 of hoger om deze kwetsbaarheid te verhelpen. U kunt de nieuwste versie downloaden van de WordPress pluginpagina.
- Controleer uw systemen op reeds geüploade .php-bestanden die kwaadaardig kunnen zijn.
- Overweeg extra beveiligingsmaatregelen zoals het gebruik van een Web Application Firewall (WAF) om verdachte activiteiten te detecteren en te blokkeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-34085?
Dit is een kritieke kwetsbaarheid in de Simple File List WordPress plugin waardoor onbeperkte bestandsuploads mogelijk zijn, wat leidt tot remote code execution.
Welke systemen zijn kwetsbaar voor CVE-2025-34085?
Systemen die WordPress draaien met de Simple File List plugin versie ouder dan 4.2.3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update beschikbaar. Update naar Simple File List versie 4.2.3 of nieuwer om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid misbruiken om ongeautoriseerd code uit te voeren en mogelijk controle over de server te verkrijgen.
