Plateforme
wordpress
Composant
wolf
Corrigé dans
1.0.9
Une vulnérabilité de type Path Traversal a été découverte dans WOLF bulk-editor, un éditeur en masse pour WordPress. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions de WOLF bulk-editor comprises entre 0.0.0 et 1.0.8.5. Une version corrigée, 1.0.9, est désormais disponible.
La vulnérabilité de Path Traversal dans WOLF bulk-editor permet à un attaquant non authentifié d'accéder à des fichiers arbitraires sur le serveur web. En manipulant les paramètres de l'application, un attaquant peut potentiellement lire des fichiers de configuration, des données sensibles, ou même exécuter du code malveillant s'il accède à des fichiers exécutables. L'impact est significatif car cela peut compromettre la confidentialité, l'intégrité et la disponibilité du système. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, ce qui augmente la surface d'attaque.
Cette vulnérabilité a été publiée le 3 février 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation. La sévérité est classée comme élevée (CVSS 7.5) en raison de la facilité d'exploitation et de l'impact potentiel.
WordPress websites utilizing the WOLF bulk-editor plugin, particularly those running older versions (0.0.0 - 1.0.8.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider should also be monitored to ensure timely patching.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wolf-bulk-editor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wolf-bulk-editor/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WOLF bulk-editor vers la version 1.0.9 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire d'installation de WOLF bulk-editor via les paramètres de votre serveur web. Vous pouvez également mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que ../. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été altérés.
Actualice el plugin WOLF a una versión corregida. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener más información sobre las versiones disponibles y las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24605 is a Path Traversal vulnerability affecting the WOLF bulk-editor WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using WOLF bulk-editor versions 0.0.0 through 1.0.8.5. Upgrade to 1.0.9 or later to mitigate the risk.
Upgrade the WOLF bulk-editor plugin to version 1.0.9 or later. If upgrading is not possible, restrict access to the plugin directory and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.