Platform
wordpress
Component
backwpup
Opgelost in
5.6.7
5.6.7
CVE-2026-6227 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de BackWPup WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met Administrator-rechten in staat om willekeurige PHP-bestanden te includeren, wat kan leiden tot het uitlezen van gevoelige informatie of zelfs remote code execution. De kwetsbaarheid treft versies van BackWPup tot en met 5.6.6. Een fix is beschikbaar in versie 5.6.7.
Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan gevoelige configuratiebestanden, zoals wp-config.php, uitlezen, wat toegang kan verlenen tot de database en andere kritieke systeemgegevens. In bepaalde configuraties kan de aanvaller zelfs remote code execution (RCE) bereiken, waardoor hij volledige controle over de WordPress-installatie kan overnemen. Dit kan leiden tot dataverlies, compromittering van de website en verdere aanvallen op het netwerk.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de mogelijkheid van exploitatie bestaat gezien de relatief eenvoudige exploitatie. De kwetsbaarheid is gepubliceerd op 2026-04-13 en is opgenomen in de NVD database.
WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.
• wordpress / composer / npm:
grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php• generic web:
curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denieddisclosure
Exploit Status
EPSS
0.41% (61% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de BackWPup plugin naar versie 5.6.7 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de /wp-json/backwpup/v1/getblock endpoint via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om alle requests met path traversal sequences (zoals ....//) te blokkeren. Controleer ook de WordPress-rechten en zorg ervoor dat alleen geautoriseerde gebruikers toegang hebben tot de plugin-instellingen.
Update naar versie 5.6.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6227 is a Local File Inclusion vulnerability in the BackWPup plugin for WordPress, allowing authenticated administrators to include arbitrary PHP files.
You are affected if you are using BackWPup version 5.6.6 or earlier. Upgrade to 5.6.7 to mitigate the risk.
Upgrade the BackWPup plugin to version 5.6.7 or later. Consider restricting access to the vulnerable endpoint as a temporary workaround.
There are currently no confirmed reports of active exploitation, but public POCs are likely to emerge.
Refer to the BackWPup plugin website or WordPress.org plugin page for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.