Plateforme
wordpress
Composant
xlsx-viewer
Corrigé dans
2.1.2
Une vulnérabilité d'accès arbitraire de fichiers (Path Traversal) a été découverte dans XLSXviewer, un plugin WordPress. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions de XLSXviewer comprises entre 0.0.0 et 2.1.1. Une version corrigée, 2.1.2, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur WordPress où XLSXviewer est installé. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou des données utilisateur stockées sur le serveur. L'attaquant pourrait potentiellement obtenir un accès non autorisé à des informations confidentielles, modifier des fichiers système ou même exécuter du code malveillant sur le serveur, compromettant ainsi l'intégrité et la confidentialité du site web. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité la rend potentiellement dangereuse.
Cette vulnérabilité a été publiée le 22 janvier 2025. Elle n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité et de la popularité de WordPress. Il n'existe pas de preuve d'exploitation active à ce jour, mais la disponibilité d'un proof-of-concept pourrait augmenter le risque.
WordPress websites utilizing the XLSXviewer plugin, particularly those running older, unpatched versions (0.0.0–2.1.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites that process user-supplied data without proper sanitization are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xlsx-viewer/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/xlsx-viewer/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.26% (percentile 49%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour XLSXviewer vers la version 2.1.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin. En attendant, vous pouvez implémenter des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de caractères de path traversal (../). Vérifiez également les permissions des fichiers et répertoires sur le serveur pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux utilisateurs non autorisés. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage SHA256 avec celui fourni par le développeur.
Actualice el plugin XLSXviewer a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-23562 is a vulnerability in the XLSXviewer WordPress plugin that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using XLSXviewer versions 0.0.0 through 2.1.1 on your WordPress site. Check your plugin versions immediately.
Upgrade the XLSXviewer plugin to version 2.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.