CVE-2026-11911: Simple File List WordPress-sårbarhed
Kritisk WordPress-fejl lader hackere slette filer og overtage din hjemmeside uden login – opdatér Simple File List nu.
Hvad er det?
En sårbarhed i WordPress-pluginnet Simple File List (version 6.3.7 og tidligere) gør det muligt for en angriber at slette vilkårlige filer på din webserver – helt uden at logge ind. Fejlen ligger i en funktion kaldet eeSFL_DeleteFile, som ikke tjekker ordentligt, hvilke filer der må slettes. Pluginnet har desuden en fejlkonfigureret adgangskontrol: en handling (AJAX-kald), der burde kræve login, er registreret så den er tilgængelig for alle – og en sikkerhedscheck, der normalt ville stoppe uvedkommende, virker ikke som forventet på dette endpoint. Resultatet er, at en angriber fra internettet kan sende en simpel forespørgsel og slette kritiske systemfiler.
Hvem rammer det?
Alle virksomheder og organisationer, der driver en WordPress-hjemmeside med pluginnet Simple File List i version 6.3.7 eller tidligere installeret og aktiveret. Det gælder uanset hostingudbyder, og angriberen behøver ingen form for adgang til din side på forhånd. Pluginnet har over 50.000 aktive installationer globalt, så potentialet for udbredt udnyttelse er stort.
Hvad kan ske?
En angriber kan slette centrale filer på din webserver. Det værste scenarie er sletning af filen wp-config.php, som indeholder databaseoplysninger og sikkerhedsnøgler til din WordPress-installation. Når denne fil mangler, tvinger WordPress dig til at køre installationsguiden igen – og en angriber kan i det øjeblik overtage hele hjemmesiden ved at oprette sig som administrator. Det svarer i praksis til fuld kontrol over din hjemmeside og potentielt din server. Derudover kan sletning af andre kritiske filer få hjemmesiden til at gå ned eller åbne for yderligere angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) af det internationale CVSS-system. Det høje tal skyldes, at angrebet kan udføres over internettet, kræver ingen teknisk ekspertise eller login, og kan føre til fuld kompromittering af hjemmesiden. Den eneste årsag til at scoren ikke er højere (kritisk), er at angrebet primært påvirker fortrolighed og tilgængelighed frem for direkte datatyveri – men konsekvenserne i praksis kan være meget alvorlige.
Hvad gør jeg nu?
Handl hurtigt. Her er hvad du konkret skal gøre:
- Opdatér Simple File List med det samme. Log ind på dit WordPress-dashboard, gå til Plugins → Installerede plugins, find Simple File List og klik ‘Opdatér’. Sørg for at versionen er nyere end 6.3.7.
- Tjek om din hjemmeside allerede er kompromitteret. Kontrollér om filen
wp-config.phpstadig er til stede, og om der er ukendte administratorbrugere i WordPress. Kontakt din webhosting-udbyder ved mistanke. - Tag en sikkerhedskopi nu – inden du foretager ændringer – så du har noget at gendanne fra, hvis noget går galt.
- Overvej midlertidigt at deaktivere pluginnet hvis du ikke kan opdatere med det samme, for at reducere risikoen i mellemtiden.
- Hold øje med logfiler fra din webserver for usædvanlig aktivitet mod
wp-admin/admin-ajax.php. Din hosting-udbyder kan hjælpe med dette.
Opdatér inden for 24 timer
Auroa anbefaler, at du opdaterer Simple File List-pluginnet til den seneste version hurtigst muligt – helst inden for 24 timer. Sårbarheden er nem at udnytte uden forudgående adgang, og konsekvenserne ved et vellykket angreb kan være tab af hele hjemmesiden. Hvis du er usikker på, om din hjemmeside allerede er blevet ramt, eller du ønsker hjælp til at gennemgå din WordPress-sikkerhed, er du velkommen til at kontakte os for en hurtig vurdering.
Tidslinje
Konkrete eksempler
Overtagelse via sletning af wp-config.php
En angriber sender et automatiseret HTTP-kald til din hjemmesides wp-admin/admin-ajax.php med instruktion om at slette wp-config.php. WordPress mister herefter forbindelsen til databasen og præsenterer installationsguiden til næste besøgende. Angriberen besøger straks din hjemmeside, udfylder installationsguiden med sine egne databaseoplysninger og er nu administrator på din side – uden at kende dit password.
Nedlukning af hjemmeside via sletning af kernefiler
En konkurrent eller ondsindet aktør bruger sårbarheden til systematisk at slette centrale WordPress-filer som index.php eller filer i wp-includes-mappen. Din hjemmeside går ned og viser fejlsider for alle besøgende. Uden en frisk sikkerhedskopi kan genopretning tage dage og koste betydelige beløb i tabt omsætning og teknisk arbejde.
Massescanning med automatiseret angrebsværktøj
En kriminel gruppe kører et automatiseret script, der scanner millioner af WordPress-sider for det sårbare plugin. Dit domæne identificeres som sårbart, og inden for minutter forsøger scriptet at slette wp-config.php. Fordi angrebet ikke kræver login eller menneskelig interaktion, sker det uden varsel og kan ramme mange sider simultant – herunder din.
Ofte stillede spørgsmål
Skal jeg være bekymret, selvom jeg ikke bruger Simple File List aktivt?
Ja. Hvis pluginnet er installeret og aktiveret – også selvom du ikke bruger det dagligt – er din hjemmeside sårbar. Det er nok at pluginnet kører i baggrunden. Deaktivér eller opdatér det med det samme.
Kan jeg nøjes med at deaktivere pluginnet i stedet for at opdatere?
Deaktivering stopper angrebet midlertidigt, fordi pluginnets kode ikke kører. Det er en acceptabel nødløsning, hvis du ikke kan opdatere med det samme. Men husk at opdatere hurtigst muligt bagefter, inden du aktiverer pluginnet igen.
Hvordan ved jeg, om min hjemmeside allerede er angrebet?
Tjek om filen
wp-config.phpstadig findes på din server, og om der er oprettet ukendte administratorer i WordPress under Brugere → Alle brugere. Kig også efter ændringer i filer med en nylig dato. Din hosting-udbyder kan hjælpe dig med at gennemgå serverlogfiler for mistænkelig aktivitet.Er det kun min hjemmeside, der kan rammes, eller kan angriberen komme ind på selve serveren?
I første omgang er det hjemmesidens filer, der er i fare. Men hvis angriberen sletter den rette fil og overtager WordPress-administratorkontoen, kan det i visse tilfælde bruges som springbræt til at kompromittere serveren yderligere – især på delt hosting. Jo hurtigere du opdaterer, jo mindre er risikoen.
Vil min hosting-udbyder ikke bare beskytte mig automatisk?
Mange hosting-udbydere tilbyder firewall-løsninger, der kan blokere kendte angrebsmønstre, men de er ikke en garanti. Ansvaret for at holde WordPress-plugins opdaterede ligger hos dig som hjemmesideejer. Kontakt din udbyder og spørg, om de har aktive beskyttelsesmekanismer mod denne CVE.
Hvad er wp-config.php, og hvorfor er det så vigtigt?
wp-config.phper hjertet i din WordPress-installation. Filen indeholder loginoplysninger til din database, sikkerhedsnøgler og andre kritiske indstillinger. Hvis den slettes, tror WordPress, at systemet ikke er installeret endnu – og næste person der besøger siden, kan opsætte en ny administrator og overtage hele hjemmesiden.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Simple File List plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the eeSFL_DeleteFile function in all versions up to, and including, 6.3.7. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). The simplefilelist_edit_job AJAX action is registered via wp_ajax_nopriv_, making it accessible without authentication, and the is_admin() guard that would otherwise restrict access is bypassed because is_admin() always returns true for requests to the admin-ajax.php endpoint.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.