Plateforme
wordpress
Composant
car-dealer-automotive-responsive
Corrigé dans
1.6.4
La vulnérabilité CVE-2025-1282 affecte le thème WordPress « Car Dealer Automotive WordPress Theme – Responsive ». Elle se manifeste par un accès arbitraire aux fichiers, résultant d'une validation insuffisante des chemins d'accès aux fichiers dans les fonctions deletepostphoto() et add_car(). Cette faille permet à des attaquants authentifiés, disposant d'un accès de niveau « Subscriber » ou supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à l'exécution de code à distance.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié peut exploiter cette faille pour supprimer des fichiers critiques du serveur WordPress, tels que wp-config.php, ce qui permettrait l'exécution de code à distance. La fonction add_car() offre également la possibilité de lire des fichiers arbitraires, augmentant ainsi la surface d'attaque. La suppression de fichiers de configuration peut compromettre l'ensemble de l'installation WordPress, permettant à l'attaquant de prendre le contrôle du site web et de ses données.
Cette vulnérabilité a été rendue publique le 27 février 2025. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La présence d'une vulnérabilité d'accès arbitraire aux fichiers, combinée à la possibilité d'exécution de code à distance, justifie une attention particulière et une correction rapide. La publication de preuves de concept (PoC) pourrait augmenter le risque d'exploitation.
WordPress websites using the Car Dealer Automotive WordPress Theme – Responsive are at risk. Specifically, sites running versions 1.0.0 through 1.6.3 are vulnerable. Shared hosting environments are particularly at risk, as they often have limited control over file permissions and security configurations. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
wp plugin list | grep 'Car Dealer Automotive WordPress Theme'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'delete_post_photo' /var/www/html/wp-content/plugins/car-dealer-responsive/• wordpress / composer / npm:
wp plugin status | grep 'Car Dealer Automotive WordPress Theme'disclosure
Statut de l'Exploit
EPSS
1.00% (percentile 77%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le thème « Car Dealer Automotive WordPress Theme – Responsive » vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs « Subscriber » et supérieurs, en désactivant temporairement les fonctions deletepostphoto() et add_car() si possible, et en surveillant attentivement les journaux du serveur pour détecter toute activité suspecte. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers du thème et assurez-vous que les permissions des fichiers sont correctement configurées.
Actualice el tema Car Dealer Automotive WordPress Theme – Responsive a la última versión disponible (superior a 1.6.3) para corregir la vulnerabilidad de eliminación y lectura arbitraria de archivos. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-1282 is a HIGH severity vulnerability in the Car Dealer Automotive WordPress Theme allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
Yes, if your WordPress site uses the Car Dealer Automotive WordPress Theme – Responsive version 1.0.0–1.6.3, you are affected by this vulnerability.
Upgrade the Car Dealer Automotive WordPress Theme – Responsive to a patched version. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no indication of active exploitation, but the vulnerability's potential for RCE makes it a potential target.
Refer to the official WordPress plugin repository and the theme developer's website for updates and advisories related to CVE-2025-1282.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.