Plateforme
wordpress
Composant
hackrepair-plugin-archiver
Corrigé dans
2.0.5
La vulnérabilité CVE-2025-10176 affecte le plugin WordPress Plugin Archiver de The Hack Repair Guy. Elle permet à un attaquant authentifié, disposant d'un accès d'administrateur ou supérieur, de supprimer des fichiers arbitraires sur le serveur en raison d'une validation insuffisante du chemin d'accès aux fichiers. Cette vulnérabilité peut facilement conduire à l'exécution de code à distance, notamment en supprimant le fichier wp-config.php.
L'impact de cette vulnérabilité est significatif. Un attaquant capable de supprimer des fichiers arbitraires peut compromettre l'ensemble du serveur WordPress. La suppression du fichier wp-config.php, par exemple, rendrait le site inaccessible et pourrait permettre à l'attaquant de prendre le contrôle complet de l'environnement. La possibilité d'exécuter du code à distance ouvre la porte à l'installation de portes dérobées, au vol de données sensibles (informations d'identification de la base de données, clés API, etc.) et à l'utilisation du serveur pour des activités malveillantes. Cette vulnérabilité rappelle les risques liés à la manipulation de fichiers de configuration sensibles, un problème fréquemment observé dans les applications web.
La vulnérabilité CVE-2025-10176 a été publiée le 12 septembre 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès authentifié et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress websites utilizing The Hack Repair Guy's Plugin Archiver plugin, particularly those with weak password policies or compromised administrator accounts, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "prepare_items function" /var/www/html/wp-content/plugins/plugin-archiver/• wordpress / composer / npm:
wp plugin list --status=inactive | grep plugin-archiver• wordpress / composer / npm:
wp plugin list | grep plugin-archiver• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/plugin-archiver/ | grep -i 'wp-config.php'disclosure
Statut de l'Exploit
EPSS
1.03% (percentile 77%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Plugin Archiver vers une version corrigée, dès qu'elle sera disponible. En attendant, plusieurs mesures peuvent être prises pour atténuer le risque. Il est fortement recommandé de restreindre l'accès aux fichiers sensibles sur le serveur, en modifiant les permissions pour empêcher l'écriture par l'utilisateur du serveur web. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les tentatives d'exploitation. Surveillez attentivement les journaux du serveur web pour détecter toute activité suspecte, notamment les tentatives de suppression de fichiers. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous que les permissions des fichiers sont correctement configurées.
Actualice el plugin The Hack Repair Guy's Plugin Archiver a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que las actualizaciones automáticas de plugins estén habilitadas en WordPress o descargue la última versión desde el repositorio oficial de WordPress.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-10176 is a vulnerability in The Hack Repair Guy's Plugin Archiver WordPress plugin allowing authenticated administrators to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using The Hack Repair Guy's Plugin Archiver WordPress plugin in versions 0.0 through 2.0.4.
Upgrade the Plugin Archiver plugin to a patched version as soon as it becomes available. Disable the plugin as a temporary workaround.
There are currently no known public exploits, but the vulnerability's ease of exploitation suggests a medium probability of exploitation.
Refer to the Plugin Archiver plugin's official website or WordPress.org plugin repository for updates and advisories related to CVE-2025-10176.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.