Plateforme
wordpress
Composant
aviation-weather-from-noaa
Corrigé dans
0.7.3
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le plugin Aviation Weather from NOAA. Cette faille permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de 0.0.0 à 0.7.2 et a été corrigée dans la version 0.7.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur web hébergeant le plugin Aviation Weather from NOAA. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou même des fichiers système. Un attaquant pourrait potentiellement télécharger des fichiers malveillants, modifier des fichiers existants, ou obtenir un accès non autorisé à d'autres ressources sur le serveur. Le risque est exacerbé si le serveur est mal configuré ou si d'autres vulnérabilités sont présentes, permettant une escalade de privilèges.
Cette vulnérabilité a été publiée le 4 juillet 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention dans le KEV de CISA. Des preuves de concept (PoC) publiques pourraient être disponibles, ce qui pourrait augmenter le risque d'exploitation à l'avenir. La sévérité est classée comme élevée (CVSS 7.7).
WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/aviation-weather-from-noaa/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Aviation Weather from NOAA vers la version 0.7.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, une mesure temporaire consiste à restreindre l'accès au répertoire du plugin via les règles d'un pare-feu d'application web (WAF). Vérifiez également les permissions des fichiers et des répertoires du plugin pour vous assurer qu'ils sont correctement configurés et limités aux seuls utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de fichiers suspects.
Actualice el plugin Aviation Weather from NOAA a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivo, evitando el acceso no autorizado a archivos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-28980 is a HIGH severity vulnerability in Aviation Weather from NOAA allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 0.7.2.
If you are using Aviation Weather from NOAA version 0.0.0 to 0.7.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Aviation Weather from NOAA plugin to version 0.7.3 or later. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the WordPress plugin repository and the developer's website for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.