MW WP Form <= 5.1.0 - Niet-geauthenticeerde willekeurige bestandsverplaatsing via move_temp_file_to_upload_dir
Platform
wordpress
Component
mw-wp-form
Opgelost in
5.1.1
CVE-2026-4347 is een arbitrary file access kwetsbaarheid in de MW WP Form plugin voor WordPress. Een niet-geauthenticeerde aanvaller kan willekeurige bestanden op de server verplaatsen, wat kan leiden tot remote code execution (RCE). De kwetsbaarheid treft versies 0 tot en met 5.1.0. Een update naar versie 5.1.1 verhelpt dit probleem.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
CVE-2026-4347 in de MW WP Form WordPress plugin stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verplaatsen. Dit komt door onvoldoende padvalidatie binnen de functies 'generateuserfilepath' en 'movetempfiletoupload_dir'. Als een aanvaller het doelpad kan manipuleren, kan hij kritieke systeembestanden, zoals wp-config.php, verplaatsen, wat kan leiden tot remote code execution. Het risico is aanzienlijk, vooral voor websites die afhankelijk zijn van MW WP Form voor formulierbeheer en de plugin niet hebben bijgewerkt. De eenvoud van exploitatie, in combinatie met de potentiële beveiligingsimpact, maakt dit een hoge prioriteit om te corrigeren.
Uitbuitingscontext
De kwetsbaarheid wordt geëxploiteerd door de uploadparameters binnen de MW WP Form plugin te manipuleren. Een aanvaller kan een kwaadwillige aanvraag sturen die een willekeurig doelpad voor het geüploade bestand specificeert. Vanwege onvoldoende validatie zal de plugin het bestand naar het gespecificeerde pad verplaatsen, waardoor de aanvaller mogelijk kritieke systeembestanden kan overschrijven. Voor exploitatie is vereist dat de aanvaller in staat is om te interageren met de uploadfunctionaliteit van de plugin, wat over het algemeen de toegang tot een webformulier inhoudt. Het ontbreken van authenticatie maakt exploitatie relatief eenvoudig.
Dreigingsinformatie
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 200KBekend
- Plugin-beoordeling
- 4.2
- Vereist WordPress
- 6.0+
- Compatibel tot
- 6.4.8
- Vereist PHP
- 8.0+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De meest effectieve oplossing is om onmiddellijk de MW WP Form plugin bij te werken naar versie 5.1.1 of hoger. Deze versie corrigeert de kwetsbaarheid door een robuustere padvalidatie te implementeren. Controleer bovendien de bestands- en maprechten van de website om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben. Het implementeren van een Web Application Firewall (WAF) kan een extra beveiligingslaag bieden door exploitatiepogingen te blokkeren. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Hoe te verhelpen
Update naar versie 5.1.1, of een nieuwere gepatchte versie
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-4347 — Remote Code Execution (RCE) in MW WP Form?
Als u de plugin niet onmiddellijk kunt bijwerken, overweeg dan om de MW WP Form plugin tijdelijk uit te schakelen totdat u dat kunt doen. U kunt ook aanvullende beveiligingsmaatregelen implementeren, zoals een WAF, om het risico te beperken.
Ben ik getroffen door CVE-2026-4347 in MW WP Form?
Als u een versie vóór 5.1.1 van MW WP Form gebruikt, is uw website kwetsbaar. U kunt de pluginversie controleren in het WordPress-beheerpaneel, onder de sectie 'Plugins'.
Hoe los ik CVE-2026-4347 in MW WP Form op?
Er zijn WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. U kunt ook de plugin-code handmatig bekijken om de kwetsbare functies te identificeren.
Wordt CVE-2026-4347 actief misbruikt?
Een WAF (Web Application Firewall) is een beveiligingstool die webapplicaties beschermt tegen aanvallen. Het kan kwaadwillige verzoeken blokkeren en de exploitatie van kwetsbaarheden voorkomen.
Waar vind ik het officiële MW WP Form-beveiligingsadvies voor CVE-2026-4347?
Er zijn verschillende formulierplugins voor WordPress, zoals Contact Form 7, WPForms en Gravity Forms. Onderzoek en kies een plugin met een goede reputatie op het gebied van beveiliging.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.