CVE-2026-11912: Kritisk fejl i WordPress Simple File List
WordPress-plugin ‘Simple File List’ lader hackere slette og ændre filer på din hjemmeside uden at logge ind.
Hvad er det?
Sårbarheden findes i WordPress-pluginnet Simple File List i alle versioner op til og med 6.3.7. En fejl i pluginnets adgangskontrol (den kode der tjekker, om en bruger har lov til at gøre noget) betyder, at en angriber uden brugernavn eller adgangskode alligevel kan slette og ændre filer på din webserver. Fejlen er kategoriseret som CWE-862, som betyder ‘manglende autorisationstjek’ — kort sagt: systemet glemmer at spørge ‘har du egentlig lov til det her?’. Det gælder uanset om du har slået funktionen til i indstillingerne eller ej, fordi tjekket sker i den forkerte rækkefølge.
Hvem rammer det?
Sårbarheden rammer alle, der driver en WordPress-hjemmeside med pluginnet Simple File List installeret i version 6.3.7 eller tidligere. Det gælder uanset om du bruger pluginnet aktivt eller blot har det installeret — og uanset om du har aktiveret filhåndteringsfunktionen i indstillingerne. Har du en WordPress-hjemmeside og er usikker på, om du bruger dette plugin, bør du tjekke det med det samme.
Hvad kan ske?
En angriber kan uden at logge ind:
- Slette filer på din webserver — fx billeder, dokumenter eller vigtige systemfiler, som får din hjemmeside til at gå ned.
- Ændre indhold i filer — fx indsætte skadelig kode (malware) i din hjemmeside, så dine besøgende udsættes for svindel eller virusinfektioner.
- Defacement — erstatte din hjemmesides indhold med propaganda eller andre beskeder.
Angrebet kræver ingen forudgående adgang, ingen teknisk viden hos den angrebne og kan udføres automatisk af scripts, der scanner internettet for sårbare sites.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.5 ud af 10 (Alvorlig) på den internationale CVSS-skala. Den er nem at udnytte: angrebet kan ske over nettet, kræver ingen særlige rettigheder og ingen handling fra dig eller dine brugere. Det eneste positive er, at angriberen ikke direkte kan stjæle data (fortrolighed er ikke påvirket) — men din hjemmesides integritet er i høj risiko. En kompromitteret hjemmeside kan skade dit omdømme, føre til tab af kunder og i visse tilfælde udløse bøder under GDPR, hvis kundedata indirekte eksponeres.
Hvad gør jeg nu?
Følg disse trin for at beskytte din WordPress-hjemmeside hurtigst muligt:
- Log ind på dit WordPress-dashboard og gå til ‘Plugins’ i menuen til venstre.
- Find ‘Simple File List’ i listen over installerede plugins. Tjek om det er installeret — også selvom du ikke husker at have brugt det.
- Opdatér pluginnet til version 6.3.8 eller nyere, hvis en opdatering er tilgængelig. Klik på ‘Opdatér nu’ ud for pluginnet.
- Deaktivér og slet pluginnet midlertidigt, hvis der endnu ikke er en opdatering tilgængelig, eller hvis du ikke bruger det aktivt.
- Tjek dine filer for ændringer — kontakt din webhost eller IT-ansvarlige og bed dem gennemgå serverlogfiler for mistænkelig aktivitet siden sårbarhedens offentliggørelse den 20. juni 2026.
- Sørg for regelmæssige backups, så du hurtigt kan gendanne din hjemmeside, hvis den er blevet ændret.
Opdatér inden for 24-48 timer
Du bør opdatere eller afinstallere Simple File List inden for de næste 24-48 timer. Sårbarheden er nem at udnytte automatisk, og det er blot et spørgsmål om tid, før automatiserede angrebsscripts finder frem til sårbare sites. Har du ikke allerede en fast rutine for plugin-opdateringer på din WordPress-side, er det nu et godt tidspunkt at etablere én — eller at få en IT-partner til at håndtere det for dig.
Tidslinje
Konkrete eksempler
Automatiseret masseangreb via internetscanning
En angriber kører et automatiseret script, der scanner tusindvis af WordPress-sites for at finde installationer med Simple File List 6.3.7 eller ældre. Når et sårbart site identificeres, sender scriptet automatisk en forespørgsel, der ændrer en central PHP-fil (programkode-fil) på serveren og indsætter skadelig kode. Besøgende på siden inficeres herefter med malware, uden at hverken du eller dine kunder opdager noget.
Sletning af kritiske filer for at lamme hjemmesiden
En angriber udnytter sårbarheden til at slette din WordPress-konfigurationsfil (wp-config.php), som indeholder databaseoplysninger. Det resulterer i, at din hjemmeside øjeblikkeligt holder op med at virke og viser en fejlside. Din virksomhed mister online synlighed, og du skal bruge tid og penge på at gendanne siden — tid som konkurrenter udnytter.
Indsætning af phishing-indhold på din hjemmeside
En angriber erstatter din hjemmesides forside med en falsk login-side, der ligner din banks eller en betalingsløsning. Dine kunder, der besøger siden, tastes ind med deres adgangskoder, som angriberen opsamler. Du hæfter ikke juridisk for selve angrebet, men dit omdømme og dine kunders tillid lider alvorlig skade.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis jeg ikke aktivt bruger Simple File List?
Ja. Sårbarheden kan udnyttes, selvom du ikke har aktiveret pluginnets funktioner i indstillingerne. Det er nok, at pluginnet er installeret og aktivt på din WordPress-side. Deaktivér eller slet det, hvis du ikke bruger det.
Kan jeg se, om nogen allerede har udnyttet sårbarheden på min side?
Det kræver gennemgang af dine serverlogfiler (tekniske registreringer af aktivitet på din webserver). Kontakt din webhost og bed dem tjekke for usædvanlig aktivitet — særligt uautoriserede fil-ændringer eller -sletninger — siden den 20. juni 2026. Et sikkerhedsplugin som Wordfence kan også hjælpe med at scanne din side.
Hvad sker der, hvis min hjemmeside allerede er blevet angrebet?
Gendannelse bør ske fra en ren backup fra før angrebet. Herefter bør du opdatere eller fjerne det sårbare plugin, ændre alle adgangskoder til WordPress og din webhost, og kontakte en IT-sikkerhedsekspert for at sikre, at der ikke er efterladt skjult skadelig kode på siden.
Hvad er CWE-862, og hvad betyder det i praksis?
CWE-862 står for ‘Missing Authorization’ — altså manglende adgangskontrol. I praksis betyder det, at systemet ikke ordentligt tjekker, om en bruger har lov til at udføre en handling, inden handlingen gennemføres. Her sker fejlen fordi et tjek (‘er brugeren administrator?’) afbryder beskyttelsen, før den egentlige indstilling for hvem der må redigere filer, bliver evalueret.
Påvirker dette min GDPR-overholdelse?
Potentielt ja. Hvis en angriber ændrer eller sletter filer, der indeholder personoplysninger om dine kunder, kan det udgøre et databrud, som skal anmeldes til Datatilsynet inden for 72 timer. Sørg for at undersøge, om persondata kan have været berørt, og dokumentér din håndtering af hændelsen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Simple File List plugin for WordPress is vulnerable to arbitrary file modification due to insufficient authorization checks in all versions up to, and including, 6.3.7. This makes it possible for unauthenticated attackers to delete and modify files on the serve. This vulnerability is exploitable even when the administrator has not enabled the AllowFrontManage setting, because the is_admin() check unconditionally short-circuits the guard before that setting is evaluated.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.