Platform
wordpress
Component
bp-xprofile-custom-field-types
Opgelost in
1.2.9
CVE-2025-14997 beschrijft een Arbitrary File Access kwetsbaarheid in de BuddyPress Xprofile Custom Field Types plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat in ernstige gevallen kan leiden tot remote code execution. De kwetsbaarheid treft versies van de plugin tussen 1.0.0 en 1.2.8 inclusief. Een fix is beschikbaar in versie 1.3.0.
De impact van deze kwetsbaarheid is aanzienlijk. Een succesvolle exploitatie stelt een geauthenticeerde aanvaller (met minimaal Subscriber-niveau toegang) in staat om willekeurige bestanden op de server te verwijderen. Het meest kritieke scenario is het verwijderen van het wp-config.php bestand, wat direct leidt tot remote code execution. Dit geeft de aanvaller volledige controle over de WordPress installatie. De kwetsbaarheid is vergelijkbaar met eerdere bestandsverwijderings kwetsbaarheden in WordPress plugins, waarbij de configuratiebestanden als primaire doelwit worden beschouwd. De mogelijkheid om willekeurige bestanden te verwijderen, opent de deur naar een breed scala aan aanvallen, waaronder het compromitteren van de database en het installeren van malware.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is gepubliceerd op 2026-01-06. Het is aannemelijk dat deze kwetsbaarheid in de toekomst door aanvallers wordt misbruikt, vooral op websites met verouderde plugins.
WordPress websites utilizing the BuddyPress Xprofile Custom Field Types plugin in versions 1.0.0 through 1.2.8 are at risk. This includes sites with Subscriber-level user roles, as these users are sufficient to exploit the vulnerability. Shared hosting environments are particularly vulnerable, as they often have limited access controls and a higher density of WordPress installations.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin version 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/buddybp-xprofile-custom-field-types/ -name 'delete_field.php'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin path 'BuddyPress Xprofile Custom Field Types'disclosure
Exploit Status
EPSS
0.94% (76% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de BuddyPress Xprofile Custom Field Types plugin naar versie 1.3.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de rechten van gebruikers tot Subscriber-niveau of het implementeren van een Web Application Firewall (WAF) die pogingen tot bestandsverwijdering blokkeert. Configureer uw WAF om verzoeken naar de delete_field functie te inspecteren en te blokkeren die verdachte bestandsnamen bevatten. Controleer de WordPress logbestanden op verdachte activiteiten, zoals ongebruikelijke bestandsverwijderingspogingen. Na de upgrade, controleer de serverlogbestanden op eventuele sporen van misbruik en bevestig dat de plugin correct werkt.
Update naar versie 1.3.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14997 is a HIGH severity vulnerability in the BuddyPress Xprofile Custom Field Types plugin for WordPress, allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using BuddyPress Xprofile Custom Field Types versions 1.0.0 through 1.2.8. Upgrade to 1.3.0 or later to resolve the issue.
Upgrade the BuddyPress Xprofile Custom Field Types plugin to version 1.3.0 or later. If immediate upgrade is not possible, restrict file permissions and consider a WAF.
There is currently no evidence of active exploitation of CVE-2025-14997 in the wild.
Refer to the official BuddyPress Xprofile Custom Field Types plugin documentation and WordPress security advisories for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.