Er is een kritiek beveiligingslek ontdekt in de ‘WP Import Export Lite’ plugin voor WordPress, geïdentificeerd als CVE-2025-6207. Door het ontbreken van bestandstypevalidatie in de ‘wpie_tempalte_import’ functie kunnen geauthentiseerde aanvallers, met Subscriber-rechten of hoger en met toestemming van een beheerder, willekeurige bestanden op de server van de getroffen site uploaden. Dit kan leiden tot mogelijke uitvoering van externe code, wat uw website ernstig kan compromitteren.
Overzicht
De kwetsbaarheid bevindt zich in alle versies tot en met 3.9.28 van de plugin. Door een onveilige bestandsupload kunnen kwaadwillenden gevaarlijke bestanden op de server zetten, wat de integriteit van uw site in gevaar brengt.
Aanbevelingen
- Update de plugin onmiddellijk naar een versie hoger dan 3.9.28 indien beschikbaar.
- Beperk de rechten van gebruikers tot het minimum dat nodig is, zeker voor gebruiker accounts met Subscriber-rechten.
- Controleer regelmatig de gemodificeerde bestanden op de server voor verdachte wijzigingen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6207?
Dit is een beveiligingslek in de WP Import Export Lite plugin waarmee ongeautoriseerde bestanduploads mogelijk zijn.
Welke systemen zijn kwetsbaar voor CVE-2025-6207?
Alle systemen die de WP Import Export Lite plugin gebruiken tot en met versie 3.9.28.
Bestaat er al een patch of beveiligingsupdate?
Controleer of er een latere versie van de plugin beschikbaar is en update deze onmiddellijk.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk externe code op uw server uitvoeren, wat kan leiden tot volledige compromittering van uw site.
