Plateforme
wordpress
Composant
yoco-payment-gateway
Corrigé dans
3.9.1
Le plugin Yoco Payments pour WordPress présente une vulnérabilité de Traversal de Chemin (Path Traversal) dans toutes les versions jusqu'à et y compris 3.9.0. Cette faille permet à un attaquant non authentifié de lire le contenu de fichiers arbitraires sur le serveur via le paramètre 'file'. L'impact potentiel est la divulgation d'informations sensibles stockées sur le serveur. La version corrigée est 3.9.1.
Cette vulnérabilité de Traversal de Chemin permet à un attaquant non authentifié d'accéder à des fichiers sensibles sur le serveur WordPress. En manipulant le paramètre 'file', l'attaquant peut contourner les contrôles d'accès et lire des fichiers situés en dehors du répertoire prévu. Les données potentiellement compromises incluent les fichiers de configuration, les clés API, les informations de base de données, et d'autres fichiers contenant des informations sensibles. L'attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code malveillant si des fichiers exécutables sont accessibles. Cette faille est similaire à d'autres vulnérabilités de Traversal de Chemin qui ont permis l'accès non autorisé à des données sensibles dans des applications web.
Cette vulnérabilité a été publiée le 7 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de la vulnérabilité et de sa présence dans un plugin WordPress largement utilisé. Il est possible que des attaquants exploitent cette vulnérabilité dans des environnements WordPress non mis à jour.
Websites using the Yoco Payments plugin, particularly those running older versions (0.0.0 - 3.9.0), are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to files on other websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'file=([^&]+)' /var/www/html/wp-content/plugins/yoco-payments/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/yoco-payments/../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Yoco Payments vers la version 3.9.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au fichier vulnérable via un pare-feu d'application web (WAF) ou un proxy inverse en bloquant les requêtes contenant des séquences de Traversal de Chemin (par exemple, '..'). Vérifiez également les permissions des fichiers et des répertoires sur le serveur pour vous assurer qu'ils sont configurés de manière sécurisée. Après la mise à jour, vérifiez l'intégrité du plugin en effectuant un test de pénétration pour confirmer que la vulnérabilité a été corrigée.
Mettre à jour vers la version 3.9.1, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13801 is a vulnerability in the Yoco Payments WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the Yoco Payments plugin version 0.0.0 through 3.9.0. Upgrade to version 3.9.1 or later to mitigate the risk.
Upgrade the Yoco Payments plugin to version 3.9.1 or later. As a temporary workaround, restrict file access permissions on the server.
There are currently no reports of active exploitation campaigns, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the Yoco Payments website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.