Download Counter Button <= 1.8.6.7 - Téléchargement arbitraire de fichiers non authentifié
Plateforme
wordpress
Composant
download-counter-button
Corrigé dans
1.8.7
Le plugin MelAbu WP Download Counter Button pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille permet à un attaquant non authentifié de lire ou de télécharger des fichiers sensibles présents sur le serveur. Les versions concernées sont comprises entre 0 et 1.8.6.7 incluses. Une mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Cette vulnérabilité d'accès arbitraire aux fichiers est particulièrement préoccupante car elle ne nécessite aucune authentification. Un attaquant peut exploiter cette faille pour accéder à des fichiers de configuration, des données sensibles des utilisateurs, des codes sources ou même exécuter du code malveillant sur le serveur WordPress. L'impact potentiel est élevé, pouvant entraîner une compromission complète du site web et de ses données. Cette vulnérabilité pourrait être exploitée pour exfiltrer des informations confidentielles ou modifier le contenu du site, causant des dommages importants à la réputation et à la sécurité.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 5 novembre 2025. Aucune preuve d'exploitation active n'a été signalée à ce jour. Il n'y a pas d'entrée correspondante dans le catalogue KEV de CISA. L'absence de preuve d'exploitation publique ne diminue pas le risque, car la simplicité de l'exploitation pourrait encourager des attaques futures.
Qui Est à Risquetraduction en cours…
Websites using the MelAbu WP Download Counter Button plugin, particularly those with sensitive data stored on the server or with permissive file system permissions, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r "wp_enqueue_style('melabu-counter-button',\s*plugin_dir_url(__FILE__)"• wordpress / composer / npm:
wp plugin list | grep melabu• wordpress / composer / npm:
wp plugin status | grep melabu• generic web: Check for unusual file downloads via the plugin's download button. Monitor access logs for requests to files outside the expected download directory.
Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution la plus efficace consiste à mettre à jour le plugin MelAbu WP Download Counter Button vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, vous pouvez appliquer des mesures d'atténuation temporaires. Assurez-vous que les permissions sur les fichiers et dossiers sensibles sont correctement configurées pour limiter l'accès. Vous pouvez également envisager de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant cette vulnérabilité. Surveillez attentivement les journaux d'accès et d'erreurs de votre serveur WordPress pour détecter toute activité suspecte.
Comment corriger
Aucune correction connue n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2025-11072 — Arbitrary File Access in MelAbu WP Download Counter Button?
CVE-2025-11072 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on servers running the MelAbu WP Download Counter Button plugin due to insufficient path validation.
Am I affected by CVE-2025-11072 in MelAbu WP Download Counter Button?
You are affected if you are using the MelAbu WP Download Counter Button plugin versions 0.0 through 1.8.6.7. Upgrade to a patched version as soon as it's available.
How do I fix CVE-2025-11072 in MelAbu WP Download Counter Button?
Upgrade the MelAbu WP Download Counter Button plugin to the latest available version. As a temporary workaround, disable the plugin or restrict file system permissions.
Is CVE-2025-11072 being actively exploited?
As of 2025-11-05, there are no known public exploits, but it's crucial to apply the patch promptly to prevent potential exploitation.
Where can I find the official MelAbu WP Download Counter Button advisory for CVE-2025-11072?
Check the official MelAbu WP Download Counter Button plugin website and WordPress plugin repository for updates and security advisories related to CVE-2025-11072.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.