Platform
wordpress
Component
backup-backup
Opgelost in
2.0.1
CVE-2025-14944 describes a Missing Authorization vulnerability found in the BackupBliss – Backup & Migration with Free Cloud Storage plugin for WordPress. An unauthenticated attacker can exploit this flaw to initiate backup upload queue processing, leading to unexpected data transfers and potential resource exhaustion on the server. This vulnerability affects versions up to and including 2.0.0, but a patch is available in version 2.1.0.
CVE-2025-14944 in de Backup Migration plugin voor WordPress stelt ongeauthentiseerde aanvallers in staat om de backup upload wachtrij verwerking te activeren. Dit komt door een ontbrekende capability check in de 'initializeOfflineAjax' functie en een gebrek aan correcte nonce validatie. De endpoint valideert alleen tegen hardcoded tokens die publiekelijk beschikbaar zijn in het JavaScript van de plugin. Een aanvaller kan deze zwakte uitbuiten om onverwachte backup transfers te initiëren, wat kan leiden tot server overbelasting, denial of service, of zelfs manipulatie van backup data. De CVSS ernst score is 5.3, wat een matig risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten met behulp van een tool zoals curl of Postman om een HTTP POST verzoek naar de kwetsbare endpoint te sturen, inclusief een payload die een backup upload simuleert. Gezien de zwakke token validatie, kan de aanvaller eenvoudig de token gebruiken die hardcoded is in het JavaScript van de plugin. Het ontbreken van een capability check betekent dat de aanvaller niet geauthenticeerd hoeft te zijn op de WordPress site om deze actie uit te voeren. Een succesvolle uitbuiting kan leiden tot de creatie van meerdere backup taken, waardoor server resources worden verbruikt en de service mogelijk wordt verstoord.
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de Backup Migration plugin te updaten naar versie 2.1.0 of hoger. Deze versie bevat de nodige fixes om een correcte capability check en robuuste nonce validatie in de 'initializeOfflineAjax' functie te implementeren. WordPress site beheerders die deze plugin gebruiken, worden ten zeerste aangeraden om de update zo snel mogelijk toe te passen om het risico op uitbuiting te verminderen. Controleer bovendien de server logs op verdachte activiteiten met betrekking tot de plugin, vooral als de update niet onmiddellijk wordt toegepast. Het up-to-date houden van plugins is een fundamentele beveiligingspraktijk.
Update naar versie 2.1.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een nonce is een uniek, eenmalig nummer dat wordt gebruikt om Cross-Site Request Forgery (CSRF) aanvallen te voorkomen. Het helpt te verifiëren dat een verzoek afkomstig is van de legitieme website en niet van een kwaadaardige bron.
Ga in het WordPress admin dashboard naar 'Plugins'. U ziet een lijst van alle geïnstalleerde plugins, samen met beschikbare update meldingen.
Als u vermoedt dat uw site is gecompromitteerd, wijzig dan onmiddellijk alle administrator wachtwoorden, scan de site op malware en overweeg om te herstellen van een schone backup.
Er zijn WordPress kwetsbaarheid scanners die deze kwetsbaarheid kunnen detecteren. Enkele voorbeelden zijn WPScan en Sucuri SiteCheck.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van beveiligingskwetsbaarheden. Een score van 5.3 duidt op een matig risico.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.