Platform
wordpress
Component
wpforo
Opgelost in
2.4.17
CVE-2026-3666 beschrijft een kwetsbaarheid voor Arbitrary File Access in de wpForo Forum WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen. De kwetsbaarheid treft versies van wpForo Forum van 0.0.0 tot en met 2.4.16. Een patch is beschikbaar in versie 2.4.17.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het verwijderen van kritieke systeembestanden, configuratiebestanden of zelfs de volledige WordPress installatie. Dit kan resulteren in een Denial of Service (DoS) of, in het ergste geval, het compromitteren van de gehele server. Aangezien de aanval vereist dat de aanvaller geauthenticeerd is met een account van 'subscriber' niveau of hoger, is de impact beperkt tot omgevingen waar dergelijke accounts toegang hebben tot forum functionaliteit. De mogelijkheid om willekeurige bestanden te verwijderen, biedt een aanzienlijke aanvalsoppervlakte voor kwaadwillenden.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn geen bekende actieve campagnes gemeld op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst PoCs zullen verschijnen.
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de wpForo Forum plugin naar versie 2.4.17 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de rechten van 'subscriber' accounts helpen om de impact te verminderen. Controleer de WordPress plugin directory op eventuele tijdelijke patches of workarounds. Implementeer een Web Application Firewall (WAF) met regels die padtraversaal aanvallen detecteren en blokkeren. Monitor forum posts op verdachte padtraversaal patronen.
Update naar versie 2.4.17, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3666 is a HIGH severity vulnerability allowing authenticated subscribers to delete arbitrary files on a WordPress server through crafted forum posts. It affects wpForo Forum versions 0.0.0–2.4.16.
Yes, if your WordPress site uses the wpForo Forum plugin and is running version 2.4.16 or earlier, you are vulnerable. Check your plugin version immediately.
Upgrade the wpForo Forum plugin to version 2.4.17 or later. As a temporary workaround, restrict file upload permissions or implement stricter input validation on forum posts.
Currently, there is no public evidence of active exploitation campaigns targeting CVE-2026-3666, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official wpForo Forum website and WordPress plugin repository for the latest security advisory and update information related to CVE-2026-3666.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.