Plateforme
wordpress
Composant
wp-cloud
Corrigé dans
1.4.4
Une vulnérabilité de parcours de chemin (Path Traversal) a été découverte dans WP Cloud, un plugin WordPress développé par Marco Milesi. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données sensibles. Elle affecte les versions de WP Cloud comprises entre 0.0.0 et 1.4.3 incluses. Une version corrigée, 1.4.4, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés en dehors du répertoire web, tels que des fichiers de configuration, des fichiers de code source, ou même des fichiers contenant des informations d'identification. Un attaquant pourrait potentiellement télécharger des fichiers malveillants sur le serveur, compromettant ainsi l'ensemble de l'installation WordPress. Le risque est accru si le serveur web est configuré avec des permissions laxistes ou si des informations d'identification sensibles sont stockées dans des fichiers accessibles via cette vulnérabilité. Cette faille est similaire à d'autres vulnérabilités de parcours de chemin qui ont permis l'accès non autorisé à des données critiques dans le passé.
Cette vulnérabilité a été rendue publique le 3 février 2025. Aucune information sur une exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la popularité de WordPress. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites utilizing the WP Cloud plugin, particularly those running older, unpatched versions (0.0.0–1.4.3), are at risk. Shared hosting environments where file permissions are not tightly controlled are also more vulnerable, as attackers may be able to leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cloud/• generic web:
curl -I http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour WP Cloud vers la version 1.4.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'accès aux fichiers et répertoires du serveur web. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes suspectes. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes WordPress.
Actualice el plugin WP Cloud a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-23819 is a HIGH severity vulnerability in WP Cloud allowing attackers to read arbitrary files due to improper path validation. It affects versions 0.0.0–1.4.3.
If you are using WP Cloud version 0.0.0 through 1.4.3, you are affected by this vulnerability. Check your plugin version and update immediately.
Upgrade WP Cloud to version 1.4.4 or later. As a temporary workaround, restrict file access permissions and implement strict input validation.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-23819, but it's crucial to patch promptly.
Refer to the official WP Cloud website or plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.