Er is een kritieke beveiligingslek ontdekt in de WordPress plugin Total Upkeep van BoldGrid. Deze kwetsbaarheid, bekend als CVE-2025-34084, laat ongeauthenticeerde gebruikers toe om gevoelige serverinformatie en back-up metadata op te vragen bij versies van de plugin ouder dan 1.14.10. Dit lek heeft een CVSS-score van 9.2, wat het tot een bijzonder ernstig probleem maakt.
Door deze kwetsbaarheid kunnen aanvallers toegang krijgen tot configuratiebestanden en de exacte locatie van back-upbestanden die mogelijk SQL-dumps bevatten, waaronder hashwaarden van gebruikersreferenties. Dit kan offline wachtwoordkraak of credential stuffing aanvallen vergemakkelijken.
Overzicht
De kwetsbare endpoints zoals env-info.php en restore-info.json ontsluiten onder andere:
- Complete serverconfiguraties
- Back-up metadata zichtbaar zonder authenticatie onder
wp-content/uploads/
Aanbevelingen
- Update de Total Upkeep plugin naar versie 1.14.10 of hoger om deze kwetsbaarheid te verhelpen.
- Controleer of er geen ongeautoriseerde toegang is geweest tot uw back-upbestanden.
- Verander wachtwoorden die zich in de database-backup kunnen bevinden.
Bronnen
- Metasploit Module voor WP Total Upkeep
- Exploit DB
- Plugin Update Details
- Productinformatie
- WordPress Plugin Pagina
- Vulncheck Advisory
Vraag en Antwoord
Wat is CVE-2025-34084?
Dit is een kwetsbaarheid die ongeauthenticeerde toegang biedt tot gevoelige informatie in de Total Upkeep plugin rond versie 1.14.10.
Welke systemen zijn kwetsbaar voor CVE-2025-34084?
WordPress-installaties met de Total Upkeep plugin versies eerder dan 1.14.10.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 1.14.10 van de plugin is al vrijgegeven om dit probleem te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder authenticatie toegang krijgen tot serverconfiguraties en backupbestanden, wat de mogelijkheid schept voor offline wachtwoordaanvallen.
