Plateforme
wordpress
Composant
wp-review
Corrigé dans
5.3.6
La vulnérabilité CVE-2025-2158 affecte le plugin WordPress « Review Plugin: The Ultimate Solution for Building a Review Website ». Elle se manifeste par une inclusion de fichier local (LFI), permettant à des attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. Les versions concernées sont comprises entre 0.0.0 et 5.3.5 incluses. Une mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité LFI représente un risque significatif pour les sites WordPress utilisant le plugin affecté. Un attaquant authentifié peut exploiter cette faille pour exécuter du code PHP arbitraire sur le serveur, contournant potentiellement les contrôles d'accès et compromettant la sécurité de l'ensemble du site. L'attaquant pourrait ainsi voler des données sensibles, modifier le contenu du site, ou même prendre le contrôle complet du serveur, en particulier si des types de fichiers PHP peuvent être téléchargés et inclus, ou si pearcmd est activé. Cette vulnérabilité est similaire à d'autres failles LFI qui ont permis des compromissions majeures de sites web.
La vulnérabilité CVE-2025-2158 a été rendue publique le 2025-05-10. Il n'y a pas d'indication actuelle qu'elle soit activement exploitée, mais la nature de la vulnérabilité LFI la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'un accès authentifié. Des preuves de concept (PoC) pourraient rapidement être développées et rendues publiques, augmentant ainsi le risque d'exploitation.
WordPress websites utilizing the 'WordPress Review Plugin: The Ultimate Solution for Building a Review Website' plugin, particularly those running versions 0.0.0 through 5.3.5, are at risk. Shared hosting environments where users have Contributor-level access are especially vulnerable, as they provide the necessary authentication to exploit the vulnerability. Sites with weak file upload permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query_vars['post_type']" /var/www/html/wp-content/plugins/the-ultimate-review-plugin-for-wordpress/• wordpress / composer / npm:
wp plugin list | grep "The Ultimate Solution for Building a Review Website"• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type f -mtime -7disclosure
Statut de l'Exploit
EPSS
0.52% (percentile 67%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin « Review Plugin: The Ultimate Solution for Building a Review Website » vers une version corrigée dès qu'elle sera disponible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est fortement recommandé de restreindre les droits d'accès des utilisateurs au niveau minimum nécessaire. Vérifiez également les permissions des fichiers et dossiers du plugin pour vous assurer qu'ils sont correctement configurés. Si possible, désactivez temporairement le plugin jusqu'à la mise à jour. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de modifications non autorisées.
Actualice el plugin WordPress Review Plugin: The Ultimate Solution for Building a Review Website a la última versión disponible para solucionar esta vulnerabilidad de inclusión de archivos locales. Verifique que los permisos de los archivos y directorios sean los adecuados para evitar accesos no autorizados. Considere deshabilitar la ejecución de PHP en directorios donde no sea necesaria.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2158 is a Local File Inclusion vulnerability in the WordPress Review Plugin, allowing authenticated attackers to execute arbitrary files.
You are affected if you are using WordPress Review Plugin versions 0.0.0 through 5.3.5.
Upgrade to a patched version of the WordPress Review Plugin as soon as it is available. Disable the plugin as a temporary workaround.
While not confirmed, active exploitation is possible due to the vulnerability's high severity and ease of exploitation.
Refer to the WordPress Review Plugin developer's website and the WordPress security announcements page for updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.