Platform
wordpress
Component
wp-job-portal
Opgelost in
2.5.0
CVE-2026-4758 betreft een Remote Code Execution (RCE) kwetsbaarheid in de WP Job Portal plugin voor WordPress. Deze kwetsbaarheid, met een CVSS score van 8.8, maakt het mogelijk voor aanvallers om willekeurige bestanden te verwijderen. De kwetsbaarheid treft versies tot en met 2.4.9. De fix is beschikbaar in versie 2.5.0.
De WP Job Portal plugin voor WordPress is kwetsbaar voor willekeurige bestandverwijdering door onvoldoende padvalidatie in de functie WPJOBPORTALcustomfields::removeFileCustom. Deze kwetsbaarheid, geïdentificeerd als CVE-2026-4758, stelt geauthenticeerde aanvallers, met Subscriber-niveau toegang of hoger, in staat om willekeurige bestanden op de server te verwijderen. Dit kan gemakkelijk leiden tot Remote Code Execution (RCE) als kritieke bestanden, zoals wp-config.php, worden verwijderd. De kwetsbaarheid treft alle versies tot en met 2.4.9, waardoor onmiddellijke actie cruciaal is om het risico te beperken. De potentie voor een volledige compromittering van de website is aanzienlijk, wat de ernst van dit probleem benadrukt.
Een aanvaller met Subscriber- of hogere toegang kan deze kwetsbaarheid uitbuiten door kwaadaardige verzoeken te maken om de functie WPJOBPORTALcustomfields::removeFileCustom te manipuleren en willekeurige bestandspaden op te geven voor verwijdering. Het ontbreken van een goede padvalidatie stelt de aanvaller in staat om beveiligingsmaatregelen te omzeilen en kritieke bestanden te verwijderen. Het verwijderen van wp-config.php is bijzonder gevaarlijk omdat het gevoelige databasegegevens bevat, waardoor de aanvaller mogelijk volledige toegang tot de website krijgt en remote code execution kan uitvoeren. De relatieve eenvoud van de exploitatie in combinatie met de hoge potentiële impact maakt dit een ernstig veiligheidsprobleem.
Exploit Status
EPSS
0.28% (51% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4758 is het updaten van de WP Job Portal plugin naar versie 2.5.0 of hoger. Deze versie bevat een correctie voor het probleem met de padvalidatie, waardoor ongeautoriseerde bestandverwijdering wordt voorkomen. Als tijdelijke maatregel, beperk de rechten van gebruikers met de rol 'Subscriber' of hoger om hun vermogen te beperken om gevoelige acties uit te voeren. Regelmatig monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële exploitatiepogingen. Het updaten van de plugin is de meest effectieve en aanbevolen oplossing om deze kwetsbaarheid aan te pakken.
Update naar versie 2.5.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een beveiligingslek in de WP Job Portal plugin dat willekeurige bestandverwijdering mogelijk maakt.
Alle versies tot en met 2.4.9 zijn kwetsbaar voor deze kwetsbaarheid.
Update de WP Job Portal plugin naar versie 2.5.0 of hoger.
Beperk de rechten van gebruikers met de rol 'Subscriber' of hoger en monitor de serverlogs.
Als u vermoedt dat uw website al gecompromitteerd is, voer dan een grondige beveiligingsaudit uit en overweeg om te herstellen van een schone back-up.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.