Een ernstig beveiligingslek is ontdekt in de WP Import Export Lite plugin voor WordPress. Dit lek, aangeduid als CVE-2025-5061, maakt het mogelijk voor geauthenticeerde aanvallers met minimaal Abonnee-niveau toegang om willekeurige bestanden te uploaden. Hierdoor kan mogelijke externe code-uitvoering plaatsvinden op de webserver.
De kwetsbaarheid, bekend als een ongecontroleerde upload van gevaarlijke bestandstypes (CWE-434), is te wijten aan een ontbrekende bestandsvalidatie in de wpie_parse_upload_data functie. Hoewel een gedeeltelijke patch is vrijgegeven in versie 3.9.29, blijven eerdere versies kwetsbaar.
Overzicht
De kwetsbaarheid treft alle versies van de plugin tot en met 3.9.29. Aanvallers hebben Subscriber-niveau toegang nodig met permissies verleend door een Administrator om het lek te benutten.
Aanbevelingen
- Update de plugin: Werk de WP Import Export Lite plugin bij naar een versie hoger dan 3.9.29 om deze kwetsbaarheid te mitigeren.
- Toegangsrechten controleren: Controleer of alleen vertrouwde gebruikers de nodige permissies hebben om bestanden te uploaden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5061?
Dit is een beveiligingslek in de WP Import Export Lite plugin dat het mogelijk maakt dat geauthenticeerde gebruikers met bepaalde rechten willekeurige bestanden kunnen uploaden op een WordPress site, wat kan leiden tot externe code-uitvoering.
Welke systemen zijn kwetsbaar voor CVE-2025-5061?
WordPress sites die de WP Import Export Lite plugin gebruiken in versies tot en met 3.9.29 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een gedeeltelijke patch beschikbaar gekomen in versie 3.9.29 van de plugin, maar het is aan te raden om te updaten naar de nieuwste versie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige bestanden uploaden naar de server, wat kan leiden tot de uitvoering van schadelijke code.
