Plateforme
wordpress
Composant
instawp-connect
Corrigé dans
0.1.1
La vulnérabilité CVE-2025-2636 affecte le plugin InstaWP Connect – 1-click WP Staging & Migration pour WordPress. Elle se manifeste par une Inclusion Locale de Fichiers (LFI) exploitable via le paramètre 'instawp-database-manager' dans les versions allant de 0.0.0 à 0.1.0.85. Cette faille permet à un attaquant non authentifié d'inclure et d'exécuter des fichiers arbitraires sur le serveur, compromettant potentiellement la sécurité du site WordPress. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité LFI permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à une compromission totale du site, incluant le vol de données sensibles (informations utilisateur, données de configuration, etc.), la modification du contenu du site, ou l'installation de portes dérobées permettant un accès futur. Dans des scénarios où des fichiers PHP peuvent être téléchargés et inclus, ou sont déjà présents sur le système de fichiers, l'attaquant peut contourner les contrôles d'accès et obtenir un contrôle significatif sur le serveur. Cette vulnérabilité est similaire à d'autres failles LFI qui ont permis des attaques de prise de contrôle de serveur à grande échelle.
La vulnérabilité CVE-2025-2636 a été rendue publique le 11 avril 2025. Il n'y a pas d'indication actuelle qu'elle soit activement exploitée dans des campagnes ciblées. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, ce qui suggère une probabilité d'exploitation relativement faible (basse à moyenne).
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
Statut de l'Exploit
EPSS
10.16% (percentile 93%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin InstaWP Connect – 1-click WP Staging & Migration vers une version corrigée dès que possible. Si la mise à jour n'est pas immédiatement disponible ou cause des problèmes de compatibilité, envisagez de désactiver temporairement le plugin. En attendant la mise à jour, vous pouvez tenter de restreindre l'accès au fichier concerné via des règles de pare-feu d'application web (WAF) ou des configurations de proxy, en bloquant les requêtes contenant le paramètre 'instawp-database-manager'. Vérifiez également les permissions des fichiers et répertoires WordPress pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux fichiers sensibles. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage SHA256 avec celui fourni par le développeur.
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2636 is a Local File Inclusion vulnerability in the InstaWP Connect WordPress plugin, allowing attackers to execute arbitrary files. It has a CVSS score of 8.1 (HIGH) and affects versions 0.0.0–0.1.0.85.
You are affected if your WordPress site uses the InstaWP Connect plugin in versions 0.0.0 through 0.1.0.85. Check your plugin versions immediately.
Upgrade to the latest version of the InstaWP Connect plugin as soon as a patch is released. Until then, implement WAF rules or restrict file upload permissions.
There is currently no confirmed active exploitation, but the vulnerability is considered high severity and PoCs are likely to emerge.
Check the official InstaWP Connect website and WordPress plugin repository for updates and security advisories related to CVE-2025-2636.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.