Plateforme
wordpress
Composant
helloprint
Corrigé dans
2.0.8
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans Helloprint, affectant les versions de 0.0.0 à 2.0.7. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers sensibles sur le serveur. La version corrigée, 2.0.8, est désormais disponible et doit être installée sans délai.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, potentiellement contenant des informations confidentielles telles que des fichiers de configuration, des données utilisateur ou du code source. Un attaquant pourrait ainsi compromettre la sécurité de l'application et de l'ensemble du serveur. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et similaire à d'autres failles de ce type qui ont conduit à des violations de données importantes.
Cette vulnérabilité a été publiée le 3 mars 2025. Elle n'est pas encore répertoriée sur le KEV de CISA, ni associée à des campagnes d'exploitation actives connues. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de la vulnérabilité et de son caractère largement connu.
WordPress sites utilizing the Helloprint plugin, particularly those with older versions (0.0.0–2.0.7), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be unable to implement mitigation workarounds effectively. Sites with sensitive data stored on the same server as the WordPress installation face a higher risk of data exposure.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/helloprint/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/helloprint/../../../../etc/passwd"disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Helloprint vers la version 2.0.8. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire d'installation de Helloprint via les paramètres du serveur web (Apache, Nginx). Il est également possible de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes (../) dans les chemins d'accès aux fichiers. Vérifiez également les permissions des fichiers et répertoires pour vous assurer qu'ils sont correctement configurés.
Actualice el plugin Helloprint a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones del plugin en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-26540 is a Path Traversal vulnerability in the Helloprint WordPress plugin allowing attackers to read arbitrary files. It has a CVSS score of 7.7 and affects versions 0.0.0–2.0.7.
Yes, if your WordPress site uses the Helloprint plugin and is running version 0.0.0 through 2.0.7, you are affected by this vulnerability.
Upgrade the Helloprint WordPress plugin to version 2.0.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions and WAF rules.
As of now, there is no evidence of active exploitation campaigns targeting CVE-2025-26540, but the high CVSS score warrants vigilance.
Refer to the Helloprint project's official website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-26540.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.