Plateforme
wordpress
Composant
tainacan
Corrigé dans
0.21.15
La vulnérabilité CVE-2025-47512 est une faille d'accès arbitraire de fichiers (Path Traversal) découverte dans Tainacan, un plugin WordPress. Cette faille permet à un attaquant non authentifié de lire des fichiers situés en dehors du répertoire web, compromettant potentiellement des informations sensibles. Elle affecte les versions de Tainacan comprises entre 0.0.0 et 0.21.14. Une version corrigée, 0.21.15, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données de base de données. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le système, d'obtenir des informations confidentielles ou de modifier des données. La nature de Path Traversal rend cette vulnérabilité particulièrement dangereuse car elle ne nécessite pas d'authentification préalable. L'attaquant peut simplement manipuler les paramètres de l'URL pour accéder à des fichiers en dehors du répertoire prévu.
Cette vulnérabilité a été publiée le 23 mai 2025. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la popularité de Tainacan. Aucun PoC public n'a été identifié à ce jour, mais la nature de la vulnérabilité rend sa découverte et son exploitation relativement aisées.
WordPress sites utilizing the Tainacan plugin, particularly those with older versions (0.0.0–0.21.14), are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as are systems with default file permissions.
• wordpress / composer / npm:
grep -r "../" /var/www/html/tainacan/*• generic web:
curl -I http://your-wordpress-site.com/tainacan/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep tainacan• wordpress / composer / npm:
wp plugin update tainacandisclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Tainacan vers la version 0.21.15 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions d'accès aux fichiers et répertoires sur le serveur web. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que ../. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que le WAF est actif.
Actualice el plugin Tainacan a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener las actualizaciones más recientes y las instrucciones de instalación. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47512 is a HIGH severity vulnerability affecting the Tainacan WordPress plugin, allowing attackers to read arbitrary files on the server through path manipulation. It impacts versions 0.0.0–0.21.14.
If you are using Tainacan WordPress plugin versions 0.0.0 through 0.21.14, you are potentially affected by this vulnerability. Check your plugin version and upgrade immediately.
Upgrade the Tainacan plugin to version 0.21.15 or later to resolve this Arbitrary File Access vulnerability. If immediate upgrade is not possible, implement stricter file access controls.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-47512, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Tainacan plugin website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-47512.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.