Plateforme
wordpress
Composant
seofy-core
Corrigé dans
1.6.9
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans Seofy Core, un plugin WordPress. Cette faille permet à un attaquant d'inclure des fichiers locaux PHP, compromettant potentiellement la confidentialité et l'intégrité du système. Elle affecte les versions de Seofy Core comprises entre 0.0.0 et 1.6.8. Une version corrigée, 1.6.11, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles sur le serveur web, tels que des fichiers de configuration, des scripts PHP ou des données sensibles. L'attaquant pourrait potentiellement exécuter du code arbitraire sur le serveur, compromettant ainsi l'ensemble de l'application WordPress. Le contournement de chemin est une technique courante utilisée pour accéder à des ressources non autorisées. Dans ce cas, l'attaquant pourrait exploiter cette faille pour lire des informations confidentielles ou même prendre le contrôle du serveur.
Cette vulnérabilité a été publiée le 2025-06-09. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV. La présence d'une vulnérabilité de contournement de chemin dans un plugin WordPress est préoccupante, car elle peut être facilement exploitée par des attaquants automatisés.
WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*• generic web:
curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Seofy Core vers la version 1.6.11. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web ou en utilisant un pare-feu d'application web (WAF). Assurez-vous également que les permissions des fichiers et des répertoires sont correctement configurées pour empêcher l'accès non autorisé. Vérifiez régulièrement les journaux du serveur web pour détecter toute activité suspecte.
Mettre à jour vers la version 1.6.11, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-39473 is a Path Traversal vulnerability in Seofy Core allowing PHP Local File Inclusion, potentially exposing sensitive data or enabling code execution.
You are affected if your WordPress site uses Seofy Core versions 0.0.0 through 1.6.8. Check your plugin versions and upgrade immediately.
Upgrade Seofy Core to version 1.6.11 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting file access and using a WAF.
As of the last update, there are no known public exploits or active campaigns targeting CVE-2025-39473, but vigilance is still advised.
Refer to the official Seofy Core project website or WordPress plugin repository for the latest advisory and security updates related to CVE-2025-39473.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.