Platform
wordpress
Component
meta-box
Opgelost in
5.11.2
CVE-2025-14675 beschrijft een Arbitrary File Access kwetsbaarheid in de Meta Box plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot ernstige gevolgen zoals remote code execution. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 5.11.1. Een patch is beschikbaar in versie 5.11.2.
Een succesvolle exploitatie van CVE-2025-14675 stelt een geauthenticeerde aanvaller, met minimaal Contributor-niveau toegang, in staat om willekeurige bestanden op de server te verwijderen. Dit is bijzonder gevaarlijk omdat het verwijderen van cruciale configuratiebestanden, zoals wp-config.php, direct kan leiden tot remote code execution. De aanvaller kan dan de volledige WordPress-installatie overnemen en gevoelige gegevens stelen of wijzigen. De impact is aanzienlijk, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en de potentiële schade groot is. Het is vergelijkbaar met scenario's waarbij configuratiebestanden worden misbruikt om toegang te krijgen tot de server.
CVE-2025-14675 is openbaar bekend en de kwetsbaarheid is relatief eenvoudig te exploiteren. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2026-03-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het mogelijk om zelf een exploit te ontwikkelen.
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
Exploit Status
EPSS
0.89% (75% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-14675 is het updaten van de Meta Box plugin naar versie 5.11.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de bestandstoegangsrechten voor de plugin-directory. Implementeer een Web Application Firewall (WAF) met regels om verdachte verzoeken naar de ajaxdeletefile endpoint te blokkeren. Controleer de WordPress-logbestanden op pogingen tot bestandverwijdering. Na de upgrade, controleer de plugin-directory op ongewenste bestanden en bevestig dat de ajaxdeletefile functie correct is gepatcht.
Update naar versie 5.11.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.