De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag twee beveiligingsfouten die van invloed zijn op Gladinet en Control Web Panel (CWP) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting in het wild.
De betreffende kwetsbaarheden worden hieronder vermeld:
- CVE-2025-11371 (CVSS-score: 7,5) – Een kwetsbaarheid in bestanden of mappen die toegankelijk zijn voor externe partijen in Gladinet CentreStack en Triofox en die kunnen resulteren in onbedoelde openbaarmaking van systeembestanden.
- CVE-2025-48703 (CVSS-score: 9.0) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem in Control Web Panel (voorheen CentOS Web Panel) die resulteert in niet-geverifieerde uitvoering van externe code via shell-metatekens in de parameter t_total in een filemanager changePerm-verzoek.
De ontwikkeling komt weken nadat cyberbeveiligingsbedrijf Huntress zei dat het actieve exploitatiepogingen had gedetecteerd gericht op CVE-2025-11371, waarbij onbekende bedreigingsactoren de fout gebruikten om verkenningsopdrachten uit te voeren (bijvoorbeeld ipconfig /all) die werden doorgegeven in de vorm van een Base64-gecodeerde payload.
Er zijn momenteel echter geen openbare rapporten over hoe CVE-2025-48703 wordt ingezet bij aanvallen in de echte wereld. Technische details van de fout werden echter in juni 2025 gedeeld door beveiligingsonderzoeker Maxime Rinaudo, kort nadat deze was gepatcht in versie 0.9.8.1205 na verantwoorde openbaarmaking op 13 mei.
“Hiermee kan een externe aanvaller die een geldige gebruikersnaam op een CWP-instantie kent, vooraf geverifieerde willekeurige opdrachten op de server uitvoeren”, aldus Rinaudo.
In het licht van actieve uitbuiting zijn de agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om vóór 25 november 2025 de nodige oplossingen aan te brengen om hun netwerken te beveiligen.
De toevoeging van de twee fouten aan de KEV-catalogus volgt op rapporten van Wordfence over de exploitatie van kritieke beveiligingsproblemen die van invloed zijn op drie WordPress-plug-ins en thema’s:
- CVE-2025-11533 (CVSS-score: 9,8) – Een kwetsbaarheid bij escalatie van bevoegdheden in WP Freeio die het voor een niet-geverifieerde aanvaller mogelijk maakt zichzelf beheerdersrechten te verlenen door tijdens de registratie een gebruikersrol op te geven.
- CVE-2025-5397 (CVSS-score: 9,8) – Een kwetsbaarheid voor het omzeilen van authenticatie in Noo JobMonster die het voor niet-geverifieerde aanvallers mogelijk maakt om standaardauthenticatie te omzeilen en toegang te krijgen tot administratieve gebruikersaccounts, ervan uitgaande dat sociaal inloggen op een site is ingeschakeld.
- CVE-2025-11833 (CVSS-score: 9,8) – Een gebrek aan autorisatiecontroles in Post SMTP waardoor een niet-geverifieerde aanvaller e-maillogboeken kan bekijken, inclusief e-mails voor het opnieuw instellen van wachtwoorden, en het wachtwoord van elke gebruiker kan wijzigen, inclusief een beheerder, waardoor site-overname mogelijk wordt.
Gebruikers van WordPress-sites die afhankelijk zijn van de bovengenoemde plug-ins en thema’s, wordt aangeraden deze zo snel mogelijk bij te werken naar de nieuwste versie, sterke wachtwoorden te gebruiken en de sites te controleren op tekenen van malware of de aanwezigheid van onverwachte accounts.
