CVE-2026-6070
Kritisk

CVE-2026-6070: Kritisk fejl i WP-BusinessDirectory

Kritisk WordPress-fejl lader hackere slette dine vigtigste filer uden login — opdater WP-BusinessDirectory straks.

CVSS Score
9.1
Offentliggjort
01/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

CVE-2026-6070 er en kritisk sikkerhedsfejl i WordPress-plugin’et WP-BusinessDirectory (version 4.0.1 og ældre). Fejlen gør det muligt for en angriber at slette vilkårlige filer på din webserver — helt uden at have en konto eller være logget ind. Det sker fordi plugin’et ikke tjekker ordentligt, hvilke filer der må tilgås, når en bruger beder om at fjerne en uploadet fil. En angriber kan bruge såkaldte ‘sti-gennemløb’ (directory traversal) — det vil sige navigere uden for den tilladte mappe — og nå kritiske systemfiler som wp-config.php, der indeholder adgangskoder til din database.

Hvem rammer det?

Sårbarheden rammer alle hjemmesider, der kører WordPress med plugin’et WP-BusinessDirectory i version 4.0.1 eller ældre installeret og aktivt. Det gælder typisk virksomheder, der bruger plugin’et til at drive en online erhvervs- eller branchefortegnelse. Da angrebet kan udføres uden login, er alle berørte sites i fare — uanset om de er store eller små.

Hvad kan ske?

En angriber kan udnytte fejlen til at slette kritiske filer på din server. De mest alvorlige konsekvenser er:

  • Sletning af wp-config.php: Denne fil indeholder databaseadgangskoder og hemmelige nøgler. Slettes den, går din hjemmeside ned øjeblikkeligt — og WordPress tilbyder automatisk en ny installationsguide, som en angriber kan bruge til at overtage siden fuldstændigt.
  • Nedbrud af hjemmesiden: Sletning af andre centrale filer kan gøre din side utilgængelig for besøgende og kunder.
  • Datatab og videre angreb: Hvis en angriber overtager installationsprocessen, kan de få adgang til hele din database med kundedata og indhold.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.1 ud af 10 (Kritisk) ifølge den internationale standard CVSS. Den scorer så højt fordi:

  • Angrebet kan udføres over internettet uden nogen form for login.
  • Det kræver ingen særlige tekniske færdigheder at udnytte.
  • Det kan føre til total nedetid og potentielt fuldstændig overtagelse af din hjemmeside.

Fortrolighed af data (C) påvirkes ikke direkte af selve sletningen, men integriteten (I) og tilgængeligheden (A) af din hjemmeside er i høj risiko.

Hvad gør jeg nu?

Handl hurtigt. Her er hvad du skal gøre i prioriteret rækkefølge:

  1. Opdater plugin’et straks: Tjek om der er en opdateret version af WP-BusinessDirectory tilgængelig og installer den med det samme via WordPress-dashboardet under Plugins → Opdateringer.
  2. Deaktiver plugin’et midlertidigt: Hvis ingen opdatering er tilgængelig, deaktivér plugin’et under Plugins i dit WordPress-dashboard, indtil en patch foreligger.
  3. Tag en backup nu: Sørg for at have en frisk sikkerhedskopi af hele dit website — især wp-config.php og din database.
  4. Tjek dine logfiler: Bed din webhost eller IT-ansvarlige om at gennemgå serverlogfiler for mistænkelig aktivitet rettet mod task=upload.remove-adressen.
  5. Gennemgå dine filer: Kontrollér at wp-config.php og andre kritiske filer stadig er til stede og intakte.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Denne sårbarhed er ekstremt nem at udnytte og kræver ingen login — det betyder, at automatiserede angreb kan ramme din side, uden at du opdager det. Vi anbefaler, at du straks opdaterer eller deaktiverer WP-BusinessDirectory og tager en fuld backup af din hjemmeside. Kontakt os gerne, hvis du er usikker på om din WordPress-installation er sårbar, eller hvis du har brug for hjælp til at sikre din side.

Tidslinje

01/07/2026
CVE offentliggjort
CVE-2026-6070 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.1.
01/07/2026
Sårbarhed beskrevet i detaljer
Den tekniske beskrivelse af fejlen — herunder den sårbare kode i klassen JBusinessDirectoryControllerUpload og det usikrede _filename-parameter — blev offentliggjort, hvilket giver potentielle angribere nok information til at konstruere et angreb.
02/07/2026
Proof-of-concept forventes tilgængeligt
Med en detaljeret offentlig beskrivelse er det realistisk at forvente, at angribere hurtigt kan udnytte sårbarheden. Automatiserede scanningsværktøjer opdateres typisk inden for få dage efter offentliggørelse af kritiske WordPress-sårbarheder.
01/07/2026
Patch-status undersøges
Det anbefales at tjekke WordPress plugin-kataloget og udviklerens hjemmeside for en opdateret version af WP-BusinessDirectory. Deaktivér plugin'et straks hvis ingen opdatering er tilgængelig.

Konkrete eksempler

Sletning af wp-config.php og overtagelse af site

En angriber sender en automatiseret HTTP-forespørgsel til din hjemmesides URL med parametrene task=upload.remove, _path_type=2 og _filename=../../wp-config.php. WordPress-plugin’et sletter uden at blinke din wp-config.php. Din hjemmeside går øjeblikkeligt ned, og WordPress viser en ny installationsguide. Angriberen åbner guiden, tilslutter sin egen database og overtager din hjemmeside fuldstændigt — alt imens dine kunder ser en fejlside.

Massescanning og automatiseret angreb

En automatiseret bot scanner tusindvis af WordPress-sites på én gang for at finde dem, der kører WP-BusinessDirectory. For hvert sårbart site sendes én forespørgsel, der sletter wp-config.php. Ejerne opdager ikke angrebet før deres site er nede. Angriberen behøver ikke have nogen forudgående viden om det specifikke site — det hele sker på sekunder per mål.

Sletning af backupfiler med adgangskoder

Mange webservere har en sikkerhedskopifil ved navn wp-config-backup.php eller wp-config.bak liggende i roden af WordPress-installationen. En angriber kan bruge den samme teknik til at slette disse filer — eller omvendt bruge viden om filstrukturen til at lokalisere og efterfølgende hente følsomme oplysninger via andre metoder, hvis yderligere sårbarheder er til stede.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

CWE-svaghedstyper

CWE-73

Original NVD-beskrivelse (engelsk)

The WP-BusinessDirectory plugin for WordPress is vulnerable to Unauthenticated Arbitrary File Deletion in versions up to and including 4.0.1. This is due to insufficient path validation in the remove() method of the JBusinessDirectoryControllerUpload class. The task=upload.remove endpoint is accessible without authentication via the plugin’s frontend routing system. The _filename parameter is accepted with RAW filter (no sanitization), and the helper function makePathFile() only normalizes directory separator characters without stripping path traversal sequences (../). When combined with the _path_type=2 parameter, which sets the base directory to the plugin’s site folder, an attacker can supply a _filename value containing ../ sequences to traverse outside the plugin directory and call PHP’s unlink() on arbitrary files — including wp-config.php, wp-config-backup.php, or other critical server files accessible to the web server process. This makes it possible for unauthenticated attackers to delete arbitrary files on the server.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-6070
Offentliggjort
01/07/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.