Plateforme
wordpress
Composant
meta-box
Corrigé dans
5.11.2
La vulnérabilité CVE-2025-14675 affecte le plugin Meta Box pour WordPress, permettant un accès arbitraire de fichiers. Cette faille permet à un attaquant authentifié de supprimer des fichiers sensibles sur le serveur, ce qui peut conduire à une exécution de code à distance. Les versions concernées sont celles comprises entre 0.0.0 et 5.11.1 incluses. La correction est disponible dans la version 5.11.2.
L'impact de cette vulnérabilité est significatif. Un attaquant ayant un accès de niveau Contributeur ou supérieur peut exploiter cette faille pour supprimer des fichiers critiques, tels que wp-config.php. La suppression de ce fichier, ou d'autres fichiers de configuration, peut entraîner une perte de données, une interruption de service ou, plus grave encore, une exécution de code à distance. La capacité de supprimer des fichiers arbitraires contourne les mesures de sécurité standard et permet à un attaquant de compromettre l'ensemble du serveur WordPress. Cette vulnérabilité rappelle les risques liés à la manipulation non sécurisée des chemins de fichiers dans les plugins WordPress.
La vulnérabilité CVE-2025-14675 a été publiée le 7 mars 2026. Il n'y a pas d'indication d'une inscription sur le KEV de CISA à ce jour. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité (accès arbitraire de fichiers) la rend potentiellement exploitable. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter toute nouvelle information.
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
Statut de l'Exploit
EPSS
0.89% (percentile 75%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Meta Box vers la version 5.11.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fichiers sensibles sur le serveur. Envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant la fonction 'ajaxdeletefile'. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité inhabituelle, en particulier les tentatives de suppression de fichiers. Une solution temporaire pourrait consister à modifier le code du plugin pour renforcer la validation des chemins de fichiers, mais cela nécessite une expertise en développement WordPress.
Mettre à jour vers la version 5.11.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.