Plateforme
wordpress
Composant
jkdevkit
Corrigé dans
1.9.5
Le plugin JKDEVKIT pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille, due à une validation insuffisante des chemins de fichiers dans la fonction 'fontuploadhandler', permet à des attaquants authentifiés de supprimer des fichiers sensibles sur le serveur. Les versions affectées sont les 1.0.0 à 1.9.4 incluses. Une correction est disponible.
Un attaquant authentifié, avec un accès de niveau Abonné ou supérieur, peut exploiter cette vulnérabilité pour supprimer des fichiers arbitraires sur le serveur WordPress. La suppression de fichiers critiques, tels que wp-config.php, peut entraîner une exécution de code à distance (RCE). Si WooCommerce est activé, un attaquant avec un accès de niveau Contributeur ou supérieur est nécessaire. Cette vulnérabilité peut compromettre l'intégrité du site web, voler des données sensibles et permettre à l'attaquant de prendre le contrôle du serveur.
Cette vulnérabilité a été rendue publique le 3 juillet 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié et de la complexité de l'exploitation pour obtenir une RCE. Il n'est pas listé sur le KEV de CISA.
WordPress sites utilizing the JKDEVKIT plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as are sites that haven't implemented robust file upload validation.
• wordpress / composer / npm:
grep -r 'font_upload_handler' /var/www/html/wp-content/plugins/jkdevkit/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/jkdevkit/font_upload_handler• wordpress / composer / npm:
wp plugin list --status=inactive | grep jkdevkitdisclosure
Statut de l'Exploit
EPSS
1.27% (percentile 79%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin JKDEVKIT vers la dernière version corrigée. En attendant, des mesures d'atténuation peuvent être mises en place. Limitez l'accès au répertoire de téléchargement de polices aux utilisateurs ayant un besoin légitime. Configurez un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant la fonction 'fontuploadhandler'. Surveillez les journaux du serveur pour détecter toute activité suspecte liée à la suppression de fichiers.
Actualice el plugin JKDEVKIT a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que la validación de rutas de archivos sea adecuada para prevenir accesos no autorizados. Considere limitar los permisos de los usuarios a los estrictamente necesarios para reducir el riesgo de explotación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2932 is a HIGH severity vulnerability in the JKDEVKIT WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if your WordPress site uses the JKDEVKIT plugin in versions 1.0.0 through 1.9.4. Check your plugin versions immediately.
Upgrade the JKDEVKIT plugin to the latest patched version as soon as it is available. Implement WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon. Monitor security advisories.
Check the JKDEVKIT plugin's official website or WordPress plugin repository for updates and security advisories related to CVE-2025-2932.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.