Plateforme
wordpress
Composant
wp-event-solution
Corrigé dans
4.0.25
Une vulnérabilité d'inclusion locale de fichiers (LFI) a été découverte dans le plugin Eventin pour WordPress, affectant les versions de 0.0.0 à 4.0.24. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. L'exploitation réussie peut entraîner la compromission du système et l'accès à des données sensibles. Une version corrigée est disponible.
L'inclusion locale de fichiers (LFI) dans Eventin permet à un attaquant authentifié d'exécuter du code PHP arbitraire sur le serveur WordPress. En exploitant cette vulnérabilité, un attaquant peut potentiellement contourner les contrôles d'accès, voler des informations sensibles stockées sur le serveur, ou même prendre le contrôle complet du serveur. L'attaquant peut exploiter la capacité d'inclure des fichiers, y compris des images ou d'autres types de fichiers considérés comme « sûrs », pour exécuter du code malveillant. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès de niveau Contributeur, ce qui est relativement facile à obtenir sur de nombreux sites WordPress.
Cette vulnérabilité est actuellement publique et pourrait être activement exploitée. Il n'y a pas d'indications d'une inclusion dans le KEV de CISA au moment de la rédaction. Des preuves de concept (PoC) publiques sont susceptibles d'être disponibles ou de l'être prochainement, ce qui augmente le risque d'exploitation. La vulnérabilité est classée comme de haute sévérité en raison de son impact potentiel et de la facilité d'exploitation.
WordPress websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also at increased risk, as are websites with legacy Eventin plugin versions that are no longer actively maintained.
• wordpress / composer / npm:
grep -r 'style=../../' /var/www/html/wp-content/plugins/eventin/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/eventin/?style=../../../../etc/passwd' # Check for file disclosurePublic disclosure
Statut de l'Exploit
EPSS
0.55% (percentile 68%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Eventin vers la dernière version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est recommandé de restreindre les autorisations des utilisateurs Contributeur pour limiter leur capacité à exploiter la vulnérabilité. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les tentatives d'exploitation en filtrant les requêtes malveillantes. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte, notamment les tentatives d'inclusion de fichiers non autorisés. Enfin, assurez-vous que tous les fichiers téléchargés sont correctement validés et nettoyés avant d'être inclus.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales se ha solucionado en versiones posteriores a la 4.0.24. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-1770 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 0.0.0 through 4.0.24 and have users with Contributor-level access or higher.
Upgrade the Eventin plugin to a patched version as soon as it's available. Until then, implement WAF rules or restrict file upload permissions.
While no active exploitation has been confirmed, the high CVSS score and ease of exploitation suggest a high likelihood of exploitation if unpatched.
Check the Eventin plugin developer's website and WordPress plugin repository for updates and advisories related to CVE-2025-1770.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.