Platform
wordpress
Component
fw-food-menu
Opgelost in
6.0.1
CVE-2025-49447 describes an Arbitrary File Access vulnerability within the FW Food Menu component developed by Fastw3b LLC. This flaw enables unauthorized users to upload files of any type, regardless of intended restrictions, potentially leading to severe consequences. The vulnerability impacts versions of FW Food Menu prior to 6.0.1. A patch is available in version 6.0.1.
De kwetsbaarheid CVE-2025-49447 in FW Food Menu staat onbeperkt bestandsuploads toe, inclusief die van gevaarlijke bestandstypen. Dit betekent dat een aanvaller kwaadaardige bestanden, zoals PHP-scripts, uitvoerbare bestanden of bestanden die kwaadaardige code bevatten, via de functie voor bestandsupload van de plugin kunnen uploaden. Het ontbreken van een juiste validatie van het bestandstype maakt deze exploitatie mogelijk. Als een aanvaller erin slaagt een kwaadaardig bestand te uploaden en uit te voeren, kan hij de beveiliging van de website compromitteren, waardoor hij in staat is willekeurige code op de server uit te voeren, gevoelige gegevens te stelen, inhoud te wijzigen of zelfs de volledige controle over de site over te nemen. Deze kwetsbaarheid is bijzonder ernstig omdat de FW Food Menu-plugin veel wordt gebruikt, wat betekent dat een groot aantal websites potentieel kwetsbaar is. De CVSS-score van 10.0 duidt op een kritieke ernst.
Een aanvaller kan deze kwetsbaarheid exploiteren door een HTTP-verzoek te sturen met een kwaadaardig bestand dat is vermomd als een toegestaan bestandstype. Het ontbreken van validatie aan de serverzijde maakt het mogelijk dat het bestand zonder verificatie wordt geüpload. Zodra het bestand is geüpload, kan de aanvaller proberen het bestand via een URL te benaderen, afhankelijk van de configuratie van de webserver. Als de server is geconfigureerd om PHP-scripts uit te voeren, kan de aanvaller het kwaadaardige bestand uitvoeren en zo de controle over de website overnemen. De complexiteit van de exploitatie is laag, omdat er geen geavanceerde technische vaardigheden nodig zijn. De kans op exploitatie is groot vanwege de brede adoptie van de plugin en de eenvoud van de kwetsbaarheid.
Exploit Status
EPSS
0.10% (29% percentiel)
CISA SSVC
CVSS-vector
De oplossing om deze kwetsbaarheid te mitigeren is om te updaten naar versie 6.0.1 of hoger van FW Food Menu. Deze versie bevat een fix die het bestandstype correct valideert voordat uploads worden toegestaan. Als een onmiddellijke update niet mogelijk is, wordt het aanbevolen om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de uploadmap via serverrechten, het gebruik van een webapplicatiefirewall (WAF) om kwaadaardige bestanden te filteren en de serverlogboeken te volgen op verdachte activiteiten. Er moet een uitgebreid beveiligingsaudit van de website worden uitgevoerd om eventuele andere potentiële kwetsbaarheden te identificeren en te corrigeren. De update moet zo snel mogelijk worden uitgevoerd om het risico op exploitatie te minimaliseren.
Actualice el plugin FW Food Menu a la última versión disponible para solucionar la vulnerabilidad de subida de archivos arbitrarios. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een CVSS-score van 10.0 is de maximale score op de CVSS-schaal, wat duidt op een kritieke kwetsbaarheid die onmiddellijke aandacht vereist.
Implementeer aanvullende beveiligingsmaatregelen, zoals het beperken van de toegang tot de uploadmap en het gebruik van een WAF.
Controleer de versie van FW Food Menu die u gebruikt. Als deze ouder is dan 6.0.1, is deze kwetsbaar.
Er zijn kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. Raadpleeg uw beveiligingsprovider.
PHP-bestanden, uitvoerbare bestanden en alle bestanden die kwaadaardige code bevatten, kunnen worden geüpload.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.