WPMasterToolKit (WPMTK) – All in one plugin <= 2.5.2 - Geverifieerde (Administrator+) toegang tot willekeurig bestand lezen en schrijven

Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller met administratorrechten in staat om de integriteit en vertrouwelijkheid van de server in gevaar te brengen. De aanvaller kan gevoelige configuratiebestanden, database credentials of andere kritieke data inlezen. Bovendien kan de aanvaller bestanden wijzigen, waardoor de functionaliteit van de WordPress-site kan worden aangepast of zelfs volledig verstoord. De impact is significant, aangezien de aanvaller potentieel volledige controle over de server kan verkrijgen via het manipuleren van bestanden.

WordPress websites using the WPMasterToolKit plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wpmastertoolkit/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/wpmastertoolkit/wp-content/../etc/passwd

1. 2025-04-24Disclosure

   disclosure

1. Gereserveerd2025-04-04
2. Gepubliceerd2025-04-24
3. Gewijzigd2026-04-08
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie is het updaten van de WPMasterToolKit plugin naar versie 2.5.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die toegang heeft tot de plugin. Implementeer een Web Application Firewall (WAF) met regels die directory traversal pogingen detecteren en blokkeren. Controleer de WordPress-site op verdachte bestandsmodificaties en ongebruikelijke activiteit in de server logs. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de plugin; dit zou moeten resulteren in een foutmelding.

Actieve installaties

4KBekend

Plugin-beoordeling