Plateforme
wordpress
Composant
spice-blocks
Corrigé dans
2.0.8
Une vulnérabilité d'accès arbitraire de fichiers (Path Traversal) a été découverte dans Spice Blocks, affectant les versions de 0.0.0 à 2.0.7.4. Cette faille permet à un attaquant de lire des fichiers sensibles sur le serveur. La vulnérabilité a été publiée le 9 juin 2025 et une version corrigée, 2.0.7.5, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les restrictions d'accès aux fichiers et de lire des données sensibles stockées sur le serveur WordPress. Cela peut inclure des fichiers de configuration, des données de base de données, des fichiers de code source ou d'autres informations confidentielles. L'attaquant pourrait potentiellement obtenir des informations d'identification, compromettre davantage le système ou utiliser ces informations pour lancer d'autres attaques. Le risque est accru si le serveur WordPress est mal configuré ou si des fichiers sensibles sont stockés dans des répertoires accessibles via le chemin d'accès vulnérable.
Cette vulnérabilité a été rendue publique le 9 juin 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. Le score CVSS de 7.5 (HIGH) indique une probabilité d'exploitation significative si des preuves d'exploitation sont publiées. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites utilizing the Spice Blocks plugin, particularly those running versions 0.0.0 through 2.0.7.4, are at risk. Shared hosting environments where plugin configurations are less controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/spice-blocks/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/spice-blocks/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mesure d'atténuation la plus efficace consiste à mettre à jour Spice Blocks vers la version 2.0.7.5 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures temporaires peuvent être prises, telles que la restriction des permissions d'accès aux fichiers et répertoires sensibles sur le serveur. Il est également recommandé de désactiver l'accès direct aux fichiers sensibles via le serveur web. Vérifiez après la mise à jour que les permissions des fichiers sont correctement configurées et que l'accès non autorisé est bloqué.
Mettre à jour vers la version 2.0.7.5, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48130 is a HIGH severity vulnerability in Spice Blocks for WordPress that allows attackers to read arbitrary files on the server.
Yes, if you are using Spice Blocks versions 0.0.0 through 2.0.7.4, you are affected by this vulnerability.
Upgrade Spice Blocks to version 2.0.7.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but proactive patching is recommended.
Refer to the Spice Blocks official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.