Plateforme
wordpress
Composant
wpevently
Corrigé dans
4.2.10
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin WordPress WpEvently. Cette faille, affectant les versions de 0.0.0 à 4.2.9, permet à un attaquant d'inclure des fichiers PHP localement, potentiellement compromettant le serveur. La version corrigée est 4.2.10, et une mise à jour est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés sur le serveur web, tels que des fichiers de configuration, des clés API ou des données utilisateur. En incluant des fichiers PHP malveillants, l'attaquant peut exécuter du code arbitraire sur le serveur, ce qui peut conduire à la prise de contrôle complète du site WordPress. Le risque est amplifié si le serveur héberge d'autres applications ou services, car l'attaquant pourrait potentiellement s'en servir comme tremplin pour des attaques plus larges. Cette vulnérabilité rappelle les risques associés à l'inclusion de fichiers non validés, un problème courant dans les applications web.
Cette vulnérabilité a été publiée le 27 mars 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.20% (percentile 42%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WpEvently vers la version 4.2.10 ou supérieure. En attendant la mise à jour, il est possible de restreindre l'accès aux fichiers sensibles sur le serveur web en modifiant les permissions des fichiers et des répertoires. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes malveillantes. Surveillez les journaux du serveur web pour détecter des tentatives d'accès suspectes aux fichiers sensibles.
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30895 is a Path Traversal vulnerability in the WpEvently WordPress plugin allowing attackers to include arbitrary files, potentially exposing sensitive data.
Yes, if you are using WpEvently versions 0.0.0 through 4.2.9, you are affected by this vulnerability.
Upgrade the WpEvently plugin to version 4.2.10 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade isn't possible.
Currently, there are no confirmed active exploitation campaigns, but the availability of a PoC increases the risk.
Refer to the WpEvently plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.