Plateforme
wordpress
Composant
images-optimizer
Corrigé dans
3.3.1
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans le plugin WordPress A/B Image Optimizer. Cette faille permet à un attaquant de lire des fichiers sensibles sur le serveur en manipulant les chemins d'accès. Elle affecte les versions du plugin comprises entre 0.0.0 et 3.3. Une mise à jour vers la version 3.3.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, potentiellement contenant des informations confidentielles telles que des fichiers de configuration, des clés API, ou des données sensibles des utilisateurs. Un attaquant pourrait également utiliser cette faille pour lire des fichiers contenant du code source, ce qui pourrait révéler d'autres vulnérabilités potentielles. Bien que l'exécution de code ne soit pas directement possible, l'accès à des fichiers de configuration pourrait permettre une escalade de privilèges ou une modification du comportement du serveur WordPress.
Cette vulnérabilité a été rendue publique le 7 février 2025. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun PoC public n'a été largement diffusé, mais la nature de la vulnérabilité (Path Traversal) la rend relativement facile à exploiter. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction.
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
Statut de l'Exploit
EPSS
25.69% (percentile 96%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin A/B Image Optimizer vers la version 3.3.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions d'accès aux fichiers et répertoires du serveur WordPress. Envisagez également de mettre en place un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des séquences de manipulation de chemin (par exemple, '..'). Vérifiez régulièrement les fichiers journaux du serveur pour détecter des tentatives d'accès non autorisées.
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25163 is a High severity vulnerability in the A/B Image Optimizer WordPress plugin that allows attackers to read arbitrary files on the server through path traversal.
You are affected if you are using A/B Image Optimizer versions 0.0.0 through 3.3. Upgrade to 3.3.1 or later to mitigate the risk.
Upgrade the A/B Image Optimizer plugin to version 3.3.1 or later. If immediate upgrade is not possible, restrict file upload access.
As of now, there are no confirmed reports of active exploitation, but the High severity score warrants immediate action.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.