Plateforme
wordpress
Composant
wp-businessdirectory
Corrigé dans
3.1.3
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin WordPress WP-BusinessDirectory de CMSJunkie. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement des données sensibles. Elle affecte les versions du plugin de 0.0.0 à 3.1.2. Une version corrigée, la 3.1.3, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'accéder à des fichiers situés en dehors du répertoire prévu, tels que des fichiers de configuration, des fichiers sources ou des données sensibles. Un attaquant pourrait potentiellement télécharger des fichiers malveillants, exécuter du code à distance ou obtenir des informations confidentielles sur le serveur. Le risque est particulièrement élevé si le serveur héberge d'autres applications ou données critiques. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis des violations de données importantes dans le passé.
Cette vulnérabilité a été publiée le 11 avril 2025. Aucune information concernant une exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature publique de la vulnérabilité et de la popularité du plugin. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante est de mettre à jour immédiatement le plugin WP-BusinessDirectory vers la version 3.1.3 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'accès aux fichiers et répertoires du serveur. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement. Sur un serveur web, configurez les règles de votre pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, comme ../ ou ..\.
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-32629 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server running the WP-BusinessDirectory plugin. It impacts versions 0.0.0–3.1.2.
You are affected if your WordPress site uses the WP-BusinessDirectory plugin and is running version 3.1.2 or earlier. Check your plugin versions immediately.
Upgrade the WP-BusinessDirectory plugin to version 3.1.3 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the CMSJunkie website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.