Plateforme
wordpress
Composant
houzez-property-feed
Corrigé dans
2.5.4
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le plugin Houzez Property Feed. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions du plugin de 0.0 à 2.5.4. Une version corrigée (2.5.4) est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés en dehors du répertoire prévu, tels que des fichiers de configuration, des fichiers sources du site web, ou même des données sensibles stockées sur le serveur. Un attaquant pourrait potentiellement obtenir des informations d'identification, des clés API, ou d'autres données confidentielles. La surface d'attaque est large, car la vulnérabilité est accessible via une requête HTTP simple. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 1er avril 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation suggère un risque potentiel. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à la date de rédaction. Des preuves de concept (PoC) pourraient être publiées prochainement, augmentant le risque d'exploitation.
WordPress sites using the Houzez Property Feed plugin, particularly those running older versions (0.0 - 2.5.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to access to files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/houzez-property-feed/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/houzez-property-feed/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Houzez Property Feed vers la version 2.5.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès au répertoire du plugin via un pare-feu d'application web (WAF) ou un proxy inverse, en bloquant les requêtes contenant des séquences de traversal de chemin (../). Vérifiez également les permissions des fichiers et des répertoires pour vous assurer qu'ils sont configurés de manière sécurisée. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour confirmer que la version corrigée a été correctement installée.
Actualice el plugin Houzez Property Feed a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falta de restricciones en la ruta del archivo, previniendo el acceso no autorizado a archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30793 is a HIGH severity vulnerability in the Houzez Property Feed WordPress plugin allowing attackers to read sensitive files via path traversal. It affects versions 0.0 through 2.5.4.
If you are using Houzez Property Feed version 0.0 to 2.5.4 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Houzez Property Feed plugin to version 2.5.4 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30793, but the vulnerability is publicly known and could be targeted.
Refer to the official Houzez Property Feed plugin documentation and website for the latest security advisories and updates related to CVE-2025-30793.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.