Platform
wordpress
Component
vikinger
Opgelost in
1.9.33
CVE-2025-4946 beschrijft een kwetsbaarheid voor Arbitrary File Access in het Vikinger WordPress thema. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot remote code execution. De kwetsbaarheid treedt op in versies van het Vikinger thema tot en met 1.9.32. Een upgrade naar een beveiligde versie is noodzakelijk om dit risico te verminderen.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een geauthenticeerde aanvaller (met Subscriber-level toegang of hoger) in staat om willekeurige bestanden te verwijderen via de vikingerdeleteactivitymediaajax() functie. Het meest kritieke scenario is het verwijderen van wp-config.php, wat direct leidt tot remote code execution. Daarnaast kan het verwijderen van andere configuratiebestanden of kritieke WordPress-bestanden de functionaliteit van de website ernstig aantasten en de integriteit ervan compromitteren. De vereiste voor een geauthenticeerde gebruiker verlaagt de drempel voor exploitatie, aangezien een aanvaller geen root-toegang nodig heeft.
Op dit moment (2025-07-02) zijn er geen publieke exploits bekend, maar de kwetsbaarheid is openbaar gemaakt. De CVSS score van 8.1 (HIGH) duidt op een significant risico. Het vereiste van authenticatie beperkt de exploitatie enigszins, maar de potentiële impact (remote code execution) is aanzienlijk. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid uitbuiten, maar het is waarschijnlijk dat aanvallers deze kwetsbaarheid zullen onderzoeken.
WordPress websites using the Vikinger theme, particularly those with the Vikinger Media plugin installed and active, are at risk. Sites with weak password policies or overly permissive user roles are especially vulnerable, as an attacker could easily gain Subscriber-level access. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'vikinger_delete_activity_media_ajax' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep vikinger• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=vikinger_delete_activity_media_ajax | grep -i '200 OK'disclosure
Exploit Status
EPSS
2.19% (84% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van het Vikinger WordPress thema naar een versie die de kwetsbaarheid heeft verholpen. Controleer de officiële Vikinger website of de WordPress plugin repository voor de nieuwste beveiligde versie. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met Subscriber-level toegang. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot bestandstoegang via de vikingerdeleteactivitymediaajax() functie blokkeren. Monitor WordPress logs op verdachte activiteit, zoals ongebruikelijke bestandstoegangspogingen. De Vikinger Media plugin moet actief zijn om de kwetsbaarheid te kunnen exploiteren, het uitschakelen van deze plugin kan een tijdelijke workaround zijn.
Actualice el tema Vikinger a una versión posterior a 1.9.32 para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Asegúrese de que el plugin Vikinger Media también esté actualizado. Verifique los permisos de los archivos y directorios para limitar el acceso y reducir el riesgo de explotación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-4946 is a HIGH severity vulnerability in the Vikinger WordPress theme allowing authenticated users to delete arbitrary files, potentially leading to remote code execution if critical files like wp-config.php are targeted. It affects versions 0.0.0–1.9.32.
You are affected if your WordPress site uses the Vikinger theme, specifically versions 0.0.0 through 1.9.32, and the Vikinger Media plugin is installed and active. Check your theme version immediately.
Upgrade the Vikinger WordPress theme to a patched version as soon as it becomes available. Until then, restrict file permissions and consider using a WAF to mitigate the risk.
While no public exploits have been released yet, the vulnerability's ease of exploitation suggests active exploitation is possible. Monitor your systems closely.
Check the official Vikinger WordPress theme website and the WordPress plugin repository for updates and advisories related to CVE-2025-4946.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.