CVE-2026-7515: Kritisk fejl i BetterDocs Pro WordPress
Kritisk fejl i WordPress-plugin BetterDocs Pro giver hackere fuld adgang til din hjemmeside uden login.
Hvad er det?
BetterDocs Pro er et WordPress-plugin (tilføjelsesprogram) til at oprette vidensbase-sider. I version 3.8.0 og tidligere er der en alvorlig fejl kaldet Local File Inclusion (LFI). Det betyder, at en angriber kan narre din hjemmeside til at køre skjulte PHP-filer (programfiler på serveren) ved at manipulere en parameter kaldet doc_style. Angriberen behøver hverken brugernavn eller adgangskode — fejlen kan udnyttes af hvem som helst på internettet.
Hvem rammer det?
Du er i risikogruppen, hvis:
- Du har en WordPress-hjemmeside
- Du bruger plugin’et BetterDocs Pro i version 3.8.0 eller tidligere
- Din hjemmeside kører på en server, hvor det er muligt at uploade filer
Det er særligt relevant for virksomheder, der bruger BetterDocs Pro til kundesupport-sider, FAQ-sektioner eller intern vidensbase.
Hvad kan ske?
En angriber, der udnytter fejlen, kan:
- Overtage hjemmesiden fuldstændigt ved at køre vilkårlig programkode på serveren
- Stjæle følsomme data som kundeoplysninger, ordrehistorik og loginoplysninger
- Omgå adgangskontrol og tilgå beskyttede dele af siden
- Installere bagdøre (skjulte adgange) som giver vedvarende adgang selv efter en oprydning
- Sprede malware til dine besøgende via din kompromitterede hjemmeside
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9.8 ud af 10 (Kritisk) af de internationale sikkerhedseksperter bag CVSS-standarden. Det er den højest mulige risikovurdering i praksis. Tre faktorer gør den særlig farlig:
- Ingen login kræves: Alle på internettet kan forsøge et angreb
- Let at udnytte: Der kræves ingen avanceret teknisk viden
- Fuld skade mulig: Angriberen kan læse, ændre og slette data samt overtage serveren
Hvad gør jeg nu?
Handl hurtigt — denne sårbarhed kræver øjeblikkelig reaktion. Følg disse trin:
- Find ud af om du er ramt: Log ind på din WordPress-admin, gå til Plugins og kontrollér om BetterDocs Pro er installeret og hvilken version du kører.
- Opdatér plugin’et: Hvis der er en opdateret version tilgængelig over 3.8.0, installér den øjeblikkeligt via Plugins → Opdateringer i WordPress.
- Midlertidig deaktivering: Hvis der endnu ikke er en patch tilgængelig, deaktivér BetterDocs Pro straks indtil opdateringen er klar.
- Tjek for tegn på kompromittering: Gennemgå adgangslogge (server logs) for usædvanlig aktivitet, særligt kald til
doc_style-parameteren. - Skift adgangskoder: Udskift adgangskoder til WordPress-admin, database og hosting-kontrol som en sikkerhedsforanstaltning.
- Kontakt din webmaster eller IT-leverandør: Hvis du er i tvivl om noget af ovenstående, få professionel hjælp med det samme.
Handl inden for 24 timer
Vi anbefaler, at du behandler dette som en kritisk hændelse og opdaterer BetterDocs Pro til den nyeste version i dag. Hvis du ikke kan opdatere med det samme, skal plugin’et deaktiveres øjeblikkeligt, selv om det midlertidigt fjerner din vidensbase-funktionalitet. En kortvarig servicepåvirkning er langt at foretrække frem for et fuldt kompromitteret website. Har du mistanke om, at din side allerede er blevet udnyttet, bør du kontakte en cybersikkerhedsekspert for en grundig gennemgang af serveren.
Tidslinje
Konkrete eksempler
Angriberen uploader en skjult bagdør
En angriber finder en WordPress-side med BetterDocs Pro 3.8.0 installeret. De uploader en ondsindet PHP-fil forklædt som et billede via en formular på siden. Derefter sender de en særligt udformet URL med doc_style-parameteren, der peger på den uploadede fil. Serveren kører filen, og angriberen har nu fuld fjernbetjening af hjemmesiden — uden nogensinde at have logget ind.
Datatyveri fra WooCommerce-webshop
En netbutik bruger BetterDocs Pro til sin kundesupport-sektion. En angriber udnytter LFI-fejlen til at tvinge serveren til at læse WordPress-konfigurationsfilen, der indeholder databasens adgangskode. Med denne adgangskode tilgår angriberen databasen og eksporterer alle kundeoplysninger, ordrehistorik og gemte betalingsinformationer — et klassisk databrud med GDPR-konsekvenser.
Hjemmesiden bruges til at sprede malware
En angriber kompromitterer en virksomheds WordPress-side via BetterDocs Pro-fejlen og indsætter skjult kode på forsiden. Koden omdirigerer besøgende til falske login-sider eller forsøger at installere malware på de besøgendes computere. Virksomheden opdager det først, da kunder begynder at klage — og i mellemtiden er siden blevet sortlistet af Google som farlig.
Ofte stillede spørgsmål
Hvad er Local File Inclusion, og hvorfor er det farligt?
Local File Inclusion (LFI) er en type fejl, hvor en angriber kan få en hjemmeside til at åbne og køre filer, der ligger på serveren, men som normalt ikke må tilgås udefra. I dette tilfælde kan angriberen få WordPress til at køre en ondsindet PHP-fil, de selv har uploadet — hvilket giver dem fuld kontrol over serveren. Det svarer lidt til, at en uvedkommende finder en bagdøre nøgle til din bygning og kan bevæge sig frit rundt.
Kan jeg se, om nogen allerede har angrebet min hjemmeside?
Du kan undersøge din webservers adgangslogge (access logs) for mistænkelige forespørgsler — særligt dem der indeholder
doc_stylemed usædvanlige filstier. Kig også efter nye ukendte filer i din WordPress-installation, ændringer i eksisterende filer eller nye admin-brugere du ikke selv har oprettet. Hvis du er usikker, anbefaler vi professionel hjælp til at gennemgå serveren.Hvad gør jeg, hvis jeg ikke kan opdatere plugin'et med det samme?
Deaktivér BetterDocs Pro øjeblikkeligt via WordPress-admin under Plugins. Det betyder, at din vidensbase måske ikke fungerer midlertidigt, men det lukker for den kendte angrebsvej. Du kan eventuelt bede din hosting-udbyder om at blokere for forespørgsler der indeholder den sårbare parameter på server-niveau, mens du venter på en opdatering.
Bruger vi den gratis version af BetterDocs — er vi også ramt?
Denne specifikke sårbarhed er rapporteret i BetterDocs Pro-versionen (betalingsversionen). Den gratis version er ikke nævnt som ramt i den officielle rapport. Det er dog altid en god idé at holde alle dine plugins opdaterede, uanset om de er gratis eller betalte.
Vil en firewall beskytte os, hvis vi ikke kan opdatere med det samme?
En Web Application Firewall (WAF) — et sikkerhedslag der filtrerer skadelig trafik til din hjemmeside — kan reducere risikoen midlertidigt ved at blokere kendte angrebsmønstre. Løsninger som Cloudflare, Wordfence eller Sucuri kan hjælpe. Men en firewall er kun en midlertidig foranstaltning. Den erstatter ikke en reel opdatering af det sårbare plugin.
Er det et krav under GDPR at reagere på denne type sårbarhed?
Ja. Under GDPR (databeskyttelsesforordningen) er du forpligtet til at beskytte personoplysninger med passende tekniske foranstaltninger. Hvis du ignorerer en kritisk og known sårbarhed, og det fører til et databrud, kan det betragtes som en overtrædelse. Hvis din hjemmeside behandler personoplysninger om kunder eller medarbejdere, bør du handle hurtigt og dokumentere de skridt du tager.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The BetterDocs Pro plugin for WordPress is vulnerable to Local File Inclusion in versions up to, and including, 3.8.0 via the `doc_style` parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
