Er is een ernstige kwetsbaarheid gevonden in het Kallyas WordPress-thema van Hogash, specifiek in alle versies tot en met 4.21.0. Deze kwetsbaarheid, bekend als CVE-2025-6991, maakt het mogelijk voor geauthenticeerde aanvallers met minimaal bijdragersniveau om willekeurige .php bestanden op de server in te sluiten en uit te voeren. Hierdoor kunnen zij toegang krijgen tot gevoelige informatie of zelfs de volledige controle over het systeem overnemen.
Een aanvaller kan zonder uw weten toegang krijgen tot gevoelige gegevens of de volledige website overnemen.
Overzicht
Het probleem zit in de TH_LatestPosts4 widget van het thema, waardoor kwaadwillende gebruikers toegang hebben tot ofwel lokale bestanden die op de server zijn opgeslagen, of zelf geüploade .php bestanden. Dit kan leiden tot het omzeilen van toegangscontroles en de uitvoering van schadelijke code.
KALLYAS - Creative eCommerce Multi-Purpose WordPress Theme versie <= 4.21.0
Aanbevelingen
- Update onmiddellijk het Kallyas-thema naar een versie boven de 4.21.0 indien beschikbaar.
- Beperk de toegangsniveaus van gebruikers om te voorkomen dat bijdragerniveau ongeoorloofde veranderingen kan maken.
- Onderzoek uw huidige installatie en verwijder ongebruikte of verdachte .php bestanden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6991?
CVE-2025-6991 is een kwetsbaarheid in het Kallyas WordPress-thema dat lokale bestandsinclusie mogelijk maakt, wat ernstige risico's voor de websitebeveiliging met zich meebrengt.
Welke systemen zijn kwetsbaar voor CVE-2025-6991?
Systemen die het Kallyas thema versie 4.21.0 of lager gebruiken zijn kwetsbaar en dienen zo snel mogelijk te worden geüpdatet.
Bestaat er al een patch of beveiligingsupdate?
Controleer bij de officiële bron of er een update of patch beschikbaar is die deze kwetsbaarheid oplost.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige PHP-code uitvoeren, toegang krijgen tot gevoelige gegevens, of de controle over de server verkrijgen.
