Platform
wordpress
Component
builderall-cheetah-for-wp
Opgelost in
3.0.2
CVE-2026-22390 beschrijft een 'Code Injection' kwetsbaarheid in de Builderall Builder voor WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren op een kwetsbare WordPress website. De kwetsbaarheid treft versies van 0.0.0 tot en met 3.0.1. Een patch is beschikbaar en wordt sterk aangeraden.
Deze RCE-kwetsbaarheid stelt een aanvaller in staat om volledige controle over een kwetsbare WordPress-installatie te verkrijgen. Een succesvolle exploitatie kan leiden tot data-exfiltratie, website defacement, installatie van malware, en verdere toegang tot het onderliggende systeem. De impact is aanzienlijk, aangezien de aanvaller in staat is om de volledige controle over de website en mogelijk de server te nemen. Dit kan leiden tot reputatieschade, financiële verliezen en inbreuk op de privacy van gebruikers.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-05. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de hoge CVSS-score (9.9) en de aard van de kwetsbaarheid (RCE) maken het een aantrekkelijk doelwit voor aanvallers. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar dit kan veranderen. Het is belangrijk om deze kwetsbaarheid serieus te nemen en onmiddellijk maatregelen te treffen.
Organizations using the Builderall Builder for WordPress plugin, particularly those with older versions (0.0.0 - 3.0.1), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised plugin on one site could potentially impact other sites on the same server.
• wordpress / composer / npm:
grep -r "builderall-cheetah-for-wp" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/builderall-cheetah-for-wp/ | grep -i 'builderall'disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Builderall Builder voor WordPress plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die de plugin gebruikt of het implementeren van een Web Application Firewall (WAF) met regels om code injectie te detecteren en te blokkeren. Controleer de toegang tot de plugin-bestanden en beperk de mogelijkheid om code te uploaden of te wijzigen. Na de upgrade, verifieer de fix door te proberen code injectie uit te voeren via bekende kwetsbare punten.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22390 is a critical Remote Code Execution vulnerability in the Builderall Builder for WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Builderall Builder for WordPress versions 0.0.0 through 3.0.1. Check your plugin version immediately.
Upgrade to the latest patched version of the Builderall Builder for WordPress plugin as soon as it becomes available. Monitor Builderall's website for updates.
As of the disclosure date, there is no confirmed active exploitation, but the CRITICAL severity suggests a high likelihood if a PoC is released.
Check the official Builderall website and security advisory pages for updates and information regarding CVE-2026-22390.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.