Plateforme
wordpress
Composant
countdown-builder
Corrigé dans
2.8.10
Une vulnérabilité d'inclusion locale de fichier (LFI) a été découverte dans le plugin WordPress "Countdown, Coming Soon, Maintenance – Countdown & Clock". Cette faille, affectant les versions de 0.0.0 à 2.8.9.1, permet à un attaquant non authentifié d'inclure et d'exécuter des fichiers arbitraires sur le serveur via la fonction createCdObj. La version corrigée, 2.8.10, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre le serveur WordPress. En incluant et exécutant des fichiers PHP malveillants, l'attaquant peut potentiellement contourner les contrôles d'accès, accéder à des données sensibles stockées sur le serveur (fichiers de configuration, bases de données, etc.) et même exécuter du code arbitraire avec les privilèges du serveur web. Le risque est amplifié si le serveur web est configuré avec des autorisations permissives ou si des fichiers de configuration sensibles sont accessibles via le web. Cette vulnérabilité présente un risque élevé de compromission complète du serveur WordPress.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la simplicité de l'exploitation rend la vulnérabilité attrayante pour les attaquants. Aucune entrée dans le KEV de CISA n'est disponible à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockdisclosure
Statut de l'Exploit
EPSS
0.65% (percentile 71%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante est de mettre à jour immédiatement le plugin "Countdown, Coming Soon, Maintenance – Countdown & Clock" vers la version 2.8.10 ou supérieure. En attendant la mise à jour, une solution de contournement consiste à restreindre les permissions d'écriture sur le répertoire du plugin. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) capable de bloquer les requêtes suspectes contenant des chemins de fichiers non autorisés. Surveillez attentivement les journaux du serveur web pour détecter toute activité suspecte, notamment les tentatives d'inclusion de fichiers non autorisés.
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.