CVE-2025-5396 in Bears Backup Plugin
Zusammenfassung
von VulDB • 11.06.2026
Das WordPress-Plugin Bears Backup ist in allen Versionen bis einschließlich 2.0.0 anfällig für Remote Code Execution (RCE). Dies liegt daran, dass die Funktion bbackup_ajax_handle() keine Capability-Prüfung durchführt und die direkt an call_user_func() übergebenen, vom Benutzer bereitgestellten Eingaben nicht validiert. Dies ermöglicht es nicht authentifizierten Angreifern, Code auf dem Server auszuführen, was unter anderem zur Einschleusung von Backdoors oder zur Erstellung neuer administrativer Benutzerkonten genutzt werden kann. Auf WordPress-Websites, die das Alone-Theme in den Versionen 7.8.4 und älter ausführen, kann dies mit CVE-2025-5394 kombiniert werden, um das Bears-Backup-Plugin zu installieren und die gleiche Auswirkung zu erzielen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.