Plateforme
wordpress
Composant
store-locator
Corrigé dans
3.98.11
Une vulnérabilité de type Path Traversal a été découverte dans le plugin Store Locator de moaluko. Cette faille, permettant une Inclusion de Fichier Locale (LFI) via PHP, affecte les versions du plugin comprises entre 0.0.0 et 3.98.10. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'accéder à des fichiers sensibles sur le serveur. Une version corrigée, 3.98.11, est désormais disponible.
L'exploitation de cette vulnérabilité de Path Traversal permet à un attaquant d'inclure des fichiers arbitraires sur le serveur web. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des clés API, ou même des données de base de données. Dans le pire des cas, un attaquant pourrait exécuter du code malveillant sur le serveur si des fichiers PHP sensibles sont accessibles. Cette vulnérabilité présente un risque élevé car elle peut être exploitée à distance sans authentification, ce qui augmente considérablement la surface d'attaque.
Cette vulnérabilité a été publiée le 24 janvier 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une manipulation précise des paramètres d'entrée pour réussir l'inclusion de fichier.
WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list --status=inactive | grep store-locator• wordpress / plugin:
wp plugin update --all• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure• generic web:
grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logsdisclosure
Statut de l'Exploit
EPSS
0.17% (percentile 38%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Store Locator vers la version 3.98.11 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, une mesure d'atténuation consiste à restreindre les permissions du serveur web pour empêcher l'accès aux fichiers sensibles. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement. Surveillez les logs du serveur pour détecter des tentatives d'inclusion de fichiers inhabituelles.
Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-23422 is a Path Traversal vulnerability in the moaluko Store Locator WordPress plugin, allowing attackers to potentially include arbitrary files and access sensitive data.
You are affected if you are using moaluko Store Locator versions 0.0.0 through 3.98.10. Upgrade to 3.98.11 or later to mitigate the risk.
The recommended fix is to upgrade the moaluko Store Locator plugin to version 3.98.11 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official moaluko Store Locator website or WordPress plugin repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.