WordPress Energox theme <= 1.2 - Willekeurige Bestandverwijdering kwetsbaarheid

Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver waarop de WordPress plugin is geïnstalleerd. Dit kan configuratiebestanden, broncode, database dumps of andere kritieke gegevens omvatten. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de controle over de website overnemen, gevoelige informatie stelen of de server compromitteren. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de aanvaller de directory structuur kan navigeren om toegang te krijgen tot onbedoelde bestanden.

Websites utilizing the Energox WordPress plugin in versions 0.0.0 through 1.2 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. Administrators who have not regularly updated their WordPress plugins are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/energox/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/energox/../../../../etc/passwd

1. 2026-03-25Disclosure

   disclosure

1. Gereserveerd2026-01-28
2. Gepubliceerd2026-03-25
3. Gewijzigd2026-04-28
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie is het upgraden van de Energox WordPress plugin naar versie 1.3 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken. Controleer de WordPress configuratie op onnodige bestandsrechten en implementeer een Web Application Firewall (WAF) met regels om path traversal pogingen te detecteren en te blokkeren. Monitor de webserver logs op verdachte paden in URL's.