Plateforme
wordpress
Composant
wp-user-frontend-pro
Corrigé dans
4.1.4
La vulnérabilité CVE-2025-3055 concerne un défaut d'accès arbitraire de fichiers dans le plugin WP User Frontend Pro pour WordPress. Cette faille, due à une validation insuffisante du chemin d'accès aux fichiers, permet à un attaquant authentifié de supprimer des fichiers sensibles sur le serveur. Les versions concernées sont celles comprises entre 0.0.0 et 4.1.3 incluses. Une correction est disponible dans la version 4.1.4.
L'impact de cette vulnérabilité est significatif. Un attaquant, disposant d'un accès de niveau Subscriber ou supérieur, peut exploiter cette faille pour supprimer des fichiers arbitraires sur le serveur WordPress. La suppression de fichiers critiques, tels que wp-config.php, peut entraîner une exécution de code à distance (RCE), compromettant ainsi l'ensemble de l'installation WordPress. Cette situation est particulièrement préoccupante car elle permet à un attaquant de prendre le contrôle complet du serveur, d'exfiltrer des données sensibles, ou d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. Le risque est amplifié si le serveur WordPress héberge des données confidentielles ou est utilisé pour des transactions sensibles.
La vulnérabilité CVE-2025-3055 a été rendue publique le 5 juin 2025. Il n'y a pas d'indication d'une inscription sur le KEV (Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès authentifié et de la complexité potentielle de l'exploitation pour obtenir une RCE. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress sites utilizing the WP User Frontend Pro plugin, particularly those with a large number of users with Subscriber or higher roles, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of the plugin are most exposed.
• wordpress / composer / npm:
grep -r 'delete_avatar_ajax' /var/www/html/wp-content/plugins/wp-user-frontend-pro/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-user-frontend-pro'• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-user-frontend-pro/ | grep -i 'wp-config.php'disclosure
Statut de l'Exploit
EPSS
2.19% (percentile 84%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP User Frontend Pro vers la version 4.1.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions des utilisateurs ayant un accès de niveau Subscriber ou supérieur, afin de limiter la portée de l'attaque. Envisagez également de mettre en place un système de surveillance des fichiers critiques (wp-config.php, etc.) pour détecter toute modification non autorisée. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une règle générale de validation des chemins d'accès aux fichiers peut aider à atténuer le risque. Enfin, vérifiez régulièrement les journaux du serveur WordPress pour détecter toute activité suspecte.
Actualice el plugin WP User Frontend Pro a la versión 4.1.4 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de archivo, previniendo que atacantes autenticados eliminen archivos sensibles en el servidor, como wp-config.php.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-3055 is a HIGH severity vulnerability allowing authenticated WordPress users to delete arbitrary files, potentially leading to remote code execution via deletion of wp-config.php. It affects versions 0.0.0–4.1.3.
You are affected if your WordPress site uses WP User Frontend Pro version 0.0.0 through 4.1.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the WP User Frontend Pro plugin to version 4.1.4 or later to remediate the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be targeted. Monitor your systems closely.
Refer to the official WP User Frontend Pro website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.