Plateforme
wordpress
Composant
lbg-audio11-html5-shoutcast_history
Corrigé dans
2.7
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans CLEVER, un logiciel pour WordPress. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur, potentiellement compromettant la confidentialité et l'intégrité des données. Elle affecte les versions de CLEVER comprises entre 0.0.0 et 2.6. Une version corrigée, la 2.7, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur hébergeant CLEVER. Cela peut inclure des fichiers de configuration, des données sensibles des utilisateurs, ou même des fichiers système. L'attaquant pourrait ainsi obtenir des informations confidentielles, modifier des fichiers, ou même exécuter du code malveillant sur le serveur, en fonction des permissions du compte utilisé par le processus CLEVER. Le risque est d'autant plus élevé si CLEVER est utilisé dans un environnement de production avec des données critiques. Bien que cette vulnérabilité ne permette pas directement l'exécution de code, elle peut servir de tremplin pour d'autres attaques, comme l'injection de code via des fichiers de configuration compromis.
Cette vulnérabilité a été publiée le 9 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. La probabilité d'exploitation est considérée comme modérée, car il s'agit d'une vulnérabilité de traversal de chemin relativement simple à exploiter, mais qui nécessite un accès à l'application CLEVER.
Websites and applications utilizing CLEVER versions 0.0.0 through 2.6 are at risk. This includes organizations using CLEVER for audio streaming or related functionalities. Shared hosting environments where CLEVER is installed are particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/clever/*• generic web:
curl -I 'http://your-clever-site/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour CLEVER vers la version 2.7 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions du compte utilisateur utilisé par CLEVER afin de limiter l'impact potentiel d'une exploitation réussie. Envisagez également de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de traversal de chemin (par exemple, ../). Surveillez attentivement les journaux d'accès et d'erreurs du serveur pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous qu'aucun fichier sensible n'a été compromis.
Actualice el plugin CLEVER a la versión 2.7 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización aborda la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-31635 is a HIGH severity vulnerability in CLEVER versions 0.0.0 through 2.6 that allows attackers to read arbitrary files via a path traversal flaw, potentially exposing sensitive data.
If you are using CLEVER versions 0.0.0 through 2.6, you are potentially affected by this vulnerability. Upgrade to version 2.7 or later to mitigate the risk.
The recommended fix is to upgrade CLEVER to version 2.7 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access and using a WAF.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature suggests it could be targeted. Continuous monitoring is advised.
Refer to the official LambertGroup CLEVER advisory for detailed information and updates regarding CVE-2025-31635.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.