Plateforme
wordpress
Composant
wp01
Corrigé dans
2.6.3
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans WP01, permettant un accès arbitraire aux fichiers. Cette faille permet à un attaquant de lire des fichiers sensibles sur le serveur. Elle affecte les versions de WP01 comprises entre 0.0.0 et 2.6.2 inclus. Une version corrigée, 2.6.3, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur hébergeant WP01. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe ou des données personnelles. L'attaquant pourrait également accéder à des fichiers contenant du code source, révélant ainsi des informations sur l'architecture de l'application. Bien qu'il ne s'agisse pas d'une exécution de code à distance, l'accès à des fichiers sensibles peut servir de tremplin pour d'autres attaques, comme l'élévation de privilèges ou le vol de données.
Cette vulnérabilité a été rendue publique le 25 mars 2025. Aucune preuve d'exploitation active n'a été rapportée à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de la vulnérabilité et de sa nature critique (accès aux fichiers). Il est recommandé de la traiter avec la plus haute priorité.
Websites utilizing the WP01 plugin in versions 0.0.0 through 2.6.2 are at risk. This includes sites using shared hosting environments where plugin updates may not be managed automatically, and those with legacy WordPress installations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp01/*• generic web:
curl -I 'http://example.com/wp-content/plugins/wp01/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
27.19% (percentile 96%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WP01 vers la version 2.6.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire d'installation de WP01 via les paramètres du serveur web. Assurez-vous que le serveur web n'autorise pas l'accès direct aux fichiers en dehors du répertoire racine de l'application. Surveillez les journaux d'accès du serveur web pour détecter des tentatives d'accès à des fichiers inhabituels ou non autorisés. Des règles WAF peuvent être configurées pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/', utilisées pour contourner les restrictions de chemin.
Actualice el plugin WP01 a la versión 2.6.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30567 is a vulnerability in the WP01 WordPress plugin that allows attackers to read arbitrary files on the server via path traversal.
You are affected if you are using WP01 versions 0.0.0 through 2.6.2. Upgrade to 2.6.3 or later to resolve the issue.
Upgrade the WP01 plugin to version 2.6.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the WP01 plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.