Platform
wordpress
Component
media-library-assistant
Opgelost in
3.34.1
3.35
CVE-2026-34885 describes a SQL Injection vulnerability found in Media Library Assistant. This flaw allows attackers to inject malicious SQL code into database queries, potentially gaining unauthorized access to sensitive data or manipulating the application's functionality. The vulnerability affects Media Library Assistant versions from n/a up to and including 3.34. No official patch is currently available.
De CVE-2026-34885 kwetsbaarheid in de Media Library Assistant plugin voor WordPress vormt een aanzienlijk beveiligingsrisico. Dit is een SQL-injectie, waardoor geauthenticeerde aanvallers (met contributor-toegang of hoger) extra SQL-query's kunnen toevoegen aan bestaande query's, waardoor gevoelige informatie uit de database kan worden geëxtraheerd. Het ontbreken van de juiste validatie van gebruikersinvoerparameters en onvoldoende queryvoorbereiding maakt deze kwaadaardige code-injectie mogelijk. De potentiële impact omvat de blootstelling van gebruikersgegevens, websiteconfiguratie-informatie en, in ernstige gevallen, de volledige controle over de website. De CVSS-score van 6.5 duidt op een gemiddeld risico, maar de mogelijkheid van ongeautoriseerde database-toegang vereist onmiddellijke aandacht.
Een aanvaller met contributor-toegang of hoger op een WordPress-site die een kwetsbare versie van Media Library Assistant gebruikt, kan deze kwetsbaarheid misbruiken. De aanvaller zou kwaadaardige SQL-code kunnen injecteren via niet-gavalideerde invoerparameters. Deze geïnjecteerde code zou naast de oorspronkelijke SQL-query worden uitgevoerd, waardoor de aanvaller toegang kan krijgen tot of gegevens in de database kan wijzigen. Exploitatie vereist authenticatie, waardoor de reikwijdte van de aanval wordt beperkt tot gebruikers met privileges binnen de site. Zelfs een contributor kan echter aanzienlijke schade aanrichten als hij toegang heeft tot gevoelige informatie of de websiteconfiguratie kan wijzigen.
Exploit Status
EPSS
5.71% (90% percentiel)
CISA SSVC
CVSS-vector
De meest effectieve mitigatie is het bijwerken van de Media Library Assistant plugin naar versie 3.35 of hoger. Deze versie bevat de nodige fixes om SQL-injectie te voorkomen. Als onmiddellijke bijwerking niet mogelijk is, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de database-toegang, het gebruik van sterke wachtwoorden en het up-to-date houden van WordPress en andere plugins. Regelmatige beveiligingsaudits kunnen ook helpen bij het identificeren en aanpakken van potentiële kwetsbaarheden. Het is essentieel om serverlogs te monitoren op verdachte activiteiten die kunnen wijzen op een poging tot exploitatie. Een tijdige update is de beste verdediging tegen deze kwetsbaarheid.
Update to version 3.35, or a newer patched version
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL Injection is a type of attack where an attacker inserts malicious SQL code into an SQL query to access or manipulate data in the database.
In WordPress, 'contributor' level access allows users to create and edit posts, but not publish them. However, with this vulnerability, even a contributor can access sensitive information.
Check the version of the Media Library Assistant plugin. If it's older than 3.35, your website is vulnerable. You can also use third-party vulnerability scanning tools.
Immediately change the passwords for all users with privileged access. Perform a comprehensive security audit and restore your website from a clean backup.
Several WordPress security plugins can help prevent SQL injection, as well as web application firewalls (WAFs).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.