Platform
wordpress
Component
wp-foodbakery
Opgelost in
4.7.1
CVE-2025-0180 beschrijft een privilege escalatie kwetsbaarheid in de WP Foodbakery plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om zich te registreren als administrator, wat resulteert in ongeautoriseerde toegang tot het WordPress beheerpaneel. De kwetsbaarheid treft alle versies van de plugin tot en met 4.7. Een fix is beschikbaar in een recentere versie van de plugin.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om volledige controle te krijgen over de WordPress website. Dit omvat het wijzigen van content, het installeren van malware, het stelen van gevoelige data, en het compromitteren van andere gebruikersaccounts. De aanvaller kan de website gebruiken voor phishing aanvallen, het verspreiden van malware, of het uitvoeren van Denial-of-Service aanvallen. De kwetsbaarheid is vergelijkbaar met andere privilege escalatie kwetsbaarheden in WordPress plugins, waarbij onvoldoende validatie van gebruikersinvoer leidt tot ongeautoriseerde toegang.
Deze kwetsbaarheid is openbaar bekend gemaakt en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes, maar de hoge CVSS score (9.8) suggereert een hoog risico. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven). Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend.
Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.
• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-foodbakery• wordpress / composer / npm:
wp plugin update wp-foodbakery --alldisclosure
Exploit Status
EPSS
0.43% (62% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP Foodbakery plugin naar de nieuwste beschikbare versie. Controleer de WordPress plugin directory voor de meest recente versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijk de plugin te deactiveren om het risico te verminderen. Er zijn geen bekende WAF-regels of configuratiewerkarounds die deze kwetsbaarheid volledig kunnen mitigeren zonder de functionaliteit van de plugin te beïnvloeden. Na de upgrade, controleer de gebruikersaccounts om te bevestigen dat er geen ongeautoriseerde administrator accounts zijn aangemaakt.
Werk de WP Foodbakery plugin bij naar de laatste beschikbare versie om de privilege escalatie kwetsbaarheid te mitigeren. Zorg ervoor dat u een volledige back-up van uw website maakt voordat u een plugin bijwerkt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-0180 is a critical vulnerability in the WP Foodbakery WordPress plugin allowing unauthenticated users to register as administrators. It impacts versions 0.0.0–4.7 due to improper user meta restrictions.
If you are using WP Foodbakery version 0.0.0 through 4.7, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Foodbakery plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting user registration.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a potential target for attackers. Continuous monitoring is advised.
Refer to the WP Foodbakery plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.