Platform
wordpress
Component
meta-box
Opgelost in
5.11.2
De Meta Box plugin voor WordPress is kwetsbaar voor Arbitrary File Access. Deze kwetsbaarheid ontstaat door onvoldoende validatie van bestandspaden, waardoor geauthenticeerde aanvallers met Contributor-niveau toegang of hoger willekeurige bestanden op de server kunnen verwijderen. Het verwijderen van cruciale bestanden, zoals wp-config.php, kan leiden tot remote code execution. De kwetsbaarheid treft versies van Meta Box tot en met 5.11.1. Een fix is beschikbaar in versie 5.11.2.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden op de server te verwijderen. Dit kan leiden tot ernstige gevolgen, waaronder het compromitteren van de gehele WordPress-installatie. Het meest kritieke scenario is het verwijderen van het wp-config.php bestand, wat de aanvaller volledige controle over de database en de applicatie kan geven, waardoor remote code execution mogelijk wordt. De impact is vergelijkbaar met scenario's waarbij configuratiebestanden worden blootgesteld of gemanipuleerd, wat de beveiliging van de website aanzienlijk ondermijnt.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van publicatie. Er zijn geen publieke proof-of-concept exploits bekend, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De publicatiedatum is 2026-04-13.
WordPress sites utilizing the Meta Box plugin, particularly those with a large number of users with Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of Meta Box are most exposed.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'Meta Box'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status meta-box-plugin• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/meta-box/ -type f -name '*delete.php*'disclosure
Exploit Status
CVSS-vector
De primaire mitigatie is het upgraden van de Meta Box plugin naar versie 5.11.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de bestandstoegangsrechten voor de WordPress-installatie. Controleer de bestandsrechten en zorg ervoor dat alleen de webserver-gebruiker toegang heeft tot kritieke bestanden. Implementeer een Web Application Firewall (WAF) met regels om verdachte bestandspadmanipulaties te detecteren en te blokkeren. Monitor de WordPress-logbestanden op ongebruikelijke activiteit, zoals pogingen tot bestandstoegang of -verwijdering.
Update naar versie 5.11.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39468 is a HIGH severity vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution.
You are affected if you are using Meta Box version 5.11.1 or earlier. Upgrade to 5.11.2 or later to mitigate the risk.
Upgrade the Meta Box plugin to version 5.11.2 or later through the WordPress plugin management interface.
As of now, there are no confirmed reports of active exploitation, but the potential for RCE warrants prompt action.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.