Plateforme
wordpress
Composant
dyapress
Corrigé dans
18.0.3
Une vulnérabilité de type Path Traversal a été découverte dans DyaPress ERP/CRM, permettant l'inclusion de fichiers locaux PHP. Cette faille, notée CVE-2025-30582, permet à un attaquant de lire des fichiers sensibles sur le serveur. Elle affecte les versions de DyaPress ERP/CRM comprises entre 0.0.0 et 18.0.2.0. Une correction est disponible dans la version 18.0.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur exécutant DyaPress ERP/CRM. Cela peut inclure des fichiers de configuration contenant des informations d'identification sensibles, des fichiers sources contenant du code confidentiel, ou des fichiers journaux contenant des données utilisateur. L'attaquant pourrait potentiellement compromettre l'ensemble du système, en obtenant un accès non autorisé aux données et en exécutant du code malveillant. Bien que la description ne mentionne pas d'exploitation active, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et potentiellement dangereuse, similaire à d'autres failles de ce type qui ont mené à des violations de données importantes.
La vulnérabilité CVE-2025-30582 a été rendue publique le 2025-04-10. Il n'y a pas d'indication d'une inclusion dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucune preuve publique d'exploitation active n'est disponible, mais la simplicité de l'exploitation d'une vulnérabilité Path Traversal suggère un risque élevé d'exploitation future. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.
• wordpress / composer / npm:
grep -r "../" /var/www/dyapress/• generic web:
curl -I http://your-dyapress-server.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --all | grep dyapressdisclosure
Statut de l'Exploit
EPSS
0.26% (percentile 49%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour DyaPress ERP/CRM vers la version 18.0.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution temporaire consiste à restreindre l'accès au répertoire d'installation de DyaPress ERP/CRM via un pare-feu ou un serveur proxy. Il est également recommandé de configurer un Web Application Firewall (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que ../. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées, en limitant l'accès aux utilisateurs autorisés uniquement. Après la mise à jour, vérifiez l'intégrité des fichiers du système pour détecter toute modification non autorisée.
Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30582 is a Path Traversal vulnerability allowing attackers to include arbitrary files in DyaPress ERP/CRM, potentially leading to sensitive data exposure or code execution. It affects versions 0.0.0–18.0.2.0.
If you are using DyaPress ERP/CRM versions 0.0.0 through 18.0.2.0, you are potentially affected by this vulnerability. Upgrade to 18.0.3 or later to mitigate the risk.
The recommended fix is to upgrade DyaPress ERP/CRM to version 18.0.3 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no public exploits are currently known, the vulnerability's nature makes it easily exploitable, and active exploitation is possible.
Refer to the official DyaPress ERP/CRM security advisories on their website or through their support channels for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.