Plateforme
wordpress
Composant
wp-pipes
Corrigé dans
1.4.3
La vulnérabilité CVE-2025-48267 représente un Traversal de Chemin (Path Traversal) dans le plugin WordPress WP Pipes. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur web. Elle affecte les versions de WP Pipes antérieures à la version 1.4.3, et une correction a été publiée dans la version 1.4.3.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers arbitraires sur le serveur web hébergeant le site WordPress. Cela inclut des fichiers de configuration, des fichiers sources, des fichiers de logs, et potentiellement des données sensibles telles que des mots de passe ou des clés API. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le serveur, d'obtenir des informations confidentielles, ou de modifier le contenu du site web. Bien que le plugin WP Pipes soit utilisé pour manipuler des données, l'accès non restreint aux fichiers du serveur représente un risque significatif pour la sécurité globale du site.
La vulnérabilité CVE-2025-48267 a été publiée le 9 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, ce qui suggère une probabilité d'exploitation relativement faible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable.
WordPress websites using the WP Pipes plugin are at risk. Specifically, sites running older versions of WP Pipes (prior to 1.4.3) are vulnerable. Shared hosting environments where users have limited control over plugin updates are particularly susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 26%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP Pipes vers la version 1.4.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions du serveur web pour limiter l'accès aux fichiers sensibles. Envisagez également de mettre en place un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des caractères de Traversal de Chemin. Vérifiez après la mise à jour que le plugin fonctionne correctement et que l'accès aux fichiers sensibles est bien restreint.
Actualice el plugin WP Pipes a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48267 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server through path manipulation. It affects versions before 1.4.3.
You are affected if your WordPress site uses WP Pipes version 1.4.2 or earlier. Check your plugin versions and upgrade immediately.
Upgrade WP Pipes to version 1.4.3 or later. If immediate upgrade is not possible, implement WAF rules to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests it may be targeted. Monitor security advisories for updates.
Check the ThimPress website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.