Plateforme
wordpress
Composant
mayosis-core
Corrigé dans
5.4.2
La vulnérabilité CVE-2025-1565 affecte le plugin Mayosis Core pour WordPress, permettant une lecture arbitraire de fichiers. Cette faille, de sévérité élevée (CVSS 7.5), permet à des attaquants non authentifiés d'accéder à des fichiers sensibles sur le serveur. Elle concerne les versions de Mayosis Core de 0.0.0 à 5.4.1. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire n'importe quel fichier accessible au serveur web. Cela inclut potentiellement des fichiers de configuration contenant des informations sensibles telles que des mots de passe, des clés API ou des informations de connexion à la base de données. L'attaquant pourrait également accéder à des fichiers contenant du code source, des données clients ou d'autres informations confidentielles. La divulgation de ces informations pourrait entraîner des violations de données, une perte de réputation et des conséquences juridiques. Bien qu'il n'y ait pas de rapport d'exploitation publique connu à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité a été rendue publique le 2025-04-25. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation suggère un risque potentiel. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. Un proof-of-concept (PoC) pourrait être développé rapidement, augmentant le risque d'exploitation.
WordPress websites using the Mayosis Core plugin, particularly those running versions 0.0.0 through 5.4.1, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable, as attackers could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r 'remote_dl.php' /var/www/html/wp-content/plugins/mayosis-core/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/mayosis-core/library/wave-audio/peaks/remote_dl.php• wordpress / composer / npm:
wp plugin list --status=inactive | grep mayosis-coredisclosure
Statut de l'Exploit
EPSS
1.25% (percentile 79%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour Mayosis Core vers la dernière version corrigée, dès que celle-ci sera disponible. En attendant, une mesure d'atténuation consiste à restreindre l'accès au fichier library/wave-audio/peaks/remotedl.php via un pare-feu d'application web (WAF) ou un proxy inverse. Il est également possible de modifier les permissions du fichier pour limiter l'accès en lecture. Vérifiez également les permissions du répertoire library/wave-audio/peaks/ pour vous assurer qu'il n’est pas accessible publiquement. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous que le fichier remotedl.php n'est plus accessible.
Actualice el plugin Mayosis Core a la última versión disponible para solucionar esta vulnerabilidad. Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización. Esta actualización corrige la vulnerabilidad de lectura arbitraria de archivos, protegiendo su sitio web de accesos no autorizados a archivos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-1565 is a vulnerability in the Mayosis Core WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if your WordPress site uses the Mayosis Core plugin and is running version 0.0.0 through 5.4.1. Check your plugin versions immediately.
Upgrade Mayosis Core to the latest available version as soon as a patch is released. Until then, restrict access to the vulnerable file using web server configuration or a WAF.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited soon.
Check the Mayosis Core plugin website or WordPress plugin repository for updates and advisories related to CVE-2025-1565.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.