CVE-2025-5396 in Bears Backup Plugininformazioni

Riassunto

di VulDB • 23/06/2026

Il plugin Bears Backup per WordPress è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 2.0.0 inclusa. Ciò è dovuto al fatto che la funzione bbackup_ajax_handle() non effettua un controllo dei permessi di capacità (capability check), né convalida l'input fornito dall'utente passato direttamente a call_user_func(). Questo consente ad attaccanti non autenticati di eseguire codice sul server, il quale può essere sfruttato per iniettare backdoor o creare nuovi account utente amministrativi, tra le altre cose. Sui siti WordPress che eseguono la versione 7.8.4 e precedenti del tema Alone, questa vulnerabilità può essere concatenata con CVE-2025-5394 per installare il plugin Bears Backup e ottenere lo stesso impatto.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

30/05/2025

Divulgazione

17/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00732

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!