Plateforme
wordpress
Composant
download-counter-button
Corrigé dans
1.8.7
Le plugin MelAbu WP Download Counter Button pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille permet à un attaquant non authentifié de lire ou de télécharger des fichiers sensibles présents sur le serveur. Les versions concernées sont comprises entre 0 et 1.8.6.7 incluses. Une mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
Cette vulnérabilité d'accès arbitraire aux fichiers est particulièrement préoccupante car elle ne nécessite aucune authentification. Un attaquant peut exploiter cette faille pour accéder à des fichiers de configuration, des données sensibles des utilisateurs, des codes sources ou même exécuter du code malveillant sur le serveur WordPress. L'impact potentiel est élevé, pouvant entraîner une compromission complète du site web et de ses données. Cette vulnérabilité pourrait être exploitée pour exfiltrer des informations confidentielles ou modifier le contenu du site, causant des dommages importants à la réputation et à la sécurité.
Cette vulnérabilité a été rendue publique le 5 novembre 2025. Aucune preuve d'exploitation active n'a été signalée à ce jour. Il n'y a pas d'entrée correspondante dans le catalogue KEV de CISA. L'absence de preuve d'exploitation publique ne diminue pas le risque, car la simplicité de l'exploitation pourrait encourager des attaques futures.
Websites using the MelAbu WP Download Counter Button plugin, particularly those with sensitive data stored on the server or with permissive file system permissions, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp_enqueue_style('melabu-counter-button',\s*plugin_dir_url(__FILE__)"• wordpress / composer / npm:
wp plugin list | grep melabu• wordpress / composer / npm:
wp plugin status | grep melabu• generic web: Check for unusual file downloads via the plugin's download button. Monitor access logs for requests to files outside the expected download directory.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin MelAbu WP Download Counter Button vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, vous pouvez appliquer des mesures d'atténuation temporaires. Assurez-vous que les permissions sur les fichiers et dossiers sensibles sont correctement configurées pour limiter l'accès. Vous pouvez également envisager de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant cette vulnérabilité. Surveillez attentivement les journaux d'accès et d'erreurs de votre serveur WordPress pour détecter toute activité suspecte.
Aucune correction connue n'est disponible. Veuillez examiner attentivement les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-11072 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on servers running the MelAbu WP Download Counter Button plugin due to insufficient path validation.
You are affected if you are using the MelAbu WP Download Counter Button plugin versions 0.0 through 1.8.6.7. Upgrade to a patched version as soon as it's available.
Upgrade the MelAbu WP Download Counter Button plugin to the latest available version. As a temporary workaround, disable the plugin or restrict file system permissions.
As of 2025-11-05, there are no known public exploits, but it's crucial to apply the patch promptly to prevent potential exploitation.
Check the official MelAbu WP Download Counter Button plugin website and WordPress plugin repository for updates and security advisories related to CVE-2025-11072.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.