Game Users Share Buttons <= 1.3.0 - Geauthenticeerde (Abonnee+) Willekeurige Bestandverwijdering via themeNameId Parameter

Deze kwetsbaarheid maakt het mogelijk voor een Subscriber-level aanvaller om willekeurige bestandspaden toe te voegen aan de AJAX-verzoeken, waardoor gevoelige bestanden zoals wp-config.php kunnen worden verwijderd. Het succesvol misbruiken van deze kwetsbaarheid kan leiden tot remote code execution (RCE), waardoor de aanvaller volledige controle over de WordPress-installatie kan verkrijgen. Dit omvat het wijzigen van bestanden, het installeren van malware en het compromitteren van gebruikersgegevens. De impact is aanzienlijk, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en een lage privilege-level aanvaller toegang kan verlenen tot kritieke systeembestanden.

Websites using the Game Users Share Buttons plugin, particularly those running vulnerable versions (1.0.0–1.3.0), are at risk. Shared hosting environments where multiple WordPress sites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak file permissions or inadequate WAF protection are also at increased risk.

• wordpress / composer / npm:

grep -r "ajaxDeleteTheme" /var/www/html/wp-content/plugins/game-users-share-buttons/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'game-users-share-buttons'

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ajaxDeleteTheme&themeNameId=../../../../wp-config.php | grep -i '403 forbidden'

1. 2025-06-28Disclosure

   disclosure

1. Gereserveerd2025-06-26
2. Gepubliceerd2025-06-28
3. Gewijzigd2026-04-08
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie is het upgraden van de Game Users Share Buttons plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de AJAX-endpoint ajaxDeleteTheme(). Dit kan worden bereikt door de toegang te beperken tot geautoriseerde gebruikers of door een strengere validatie van de themeNameId parameter toe te voegen. Controleer ook de WordPress-firewall (WAF) configuratie om verdachte verzoeken te blokkeren. Na de upgrade, controleer de plugin logs op ongebruikelijke activiteit om te bevestigen dat de kwetsbaarheid is verholpen.