Plateforme
wordpress
Composant
delete-comments-by-status
Corrigé dans
2.1.2
Une vulnérabilité de Traversal de Chemin (Path Traversal) a été découverte dans le plugin WordPress « Delete Comments By Status ». Cette faille permet à un attaquant de potentiellement accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin comprises entre 0.0.0 et 2.1.1. Une version corrigée, 2.1.2, est désormais disponible.
La vulnérabilité de Traversal de Chemin dans Delete Comments By Status permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire web prévu. En manipulant les paramètres de l'URL, un attaquant peut potentiellement lire des fichiers de configuration, des scripts sensibles, ou même des données confidentielles stockées sur le serveur. L'impact peut être significatif, allant de la divulgation d'informations sensibles à la prise de contrôle du serveur dans des cas extrêmes, en fonction des fichiers accessibles et de leur contenu. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, rendant l'ensemble du site web potentiellement vulnérable.
Cette vulnérabilité a été publiée le 3 mars 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. Il est donc crucial d'appliquer les correctifs dès que possible.
WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Delete Comments By Status vers la version 2.1.2 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès au plugin via un pare-feu applicatif web (WAF) en bloquant les requêtes contenant des séquences de caractères suspectes dans les paramètres de l'URL. Vérifiez également les permissions des fichiers et dossiers du plugin pour vous assurer qu'ils sont correctement configurés et limités aux utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de modifications non autorisées.
Actualice el plugin Delete Comments By Status a la última versión disponible para mitigar la vulnerabilidad de Path Traversal. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25130 is a Path Traversal vulnerability affecting the Delete Comments By Status WordPress plugin, allowing attackers to read arbitrary files.
You are affected if you are using Delete Comments By Status versions 0.0.0 through 2.1.1. Upgrade to 2.1.2 or later to mitigate the risk.
Upgrade the Delete Comments By Status plugin to version 2.1.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There are currently no reports of active exploitation, but the vulnerability is publicly known and poses a significant risk.
Check the Delete Comments By Status plugin page on WordPress.org for updates and security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.