Plateforme
wordpress
Composant
newsletters-lite
Corrigé dans
4.9.10
Une vulnérabilité d'Inclusion Locale de Fichier (LFI) a été découverte dans le plugin Newsletters pour WordPress. Cette faille, affectant les versions de 0.0.0 à 4.9.9.9, permet à un attaquant authentifié, disposant d'un accès d'administrateur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. La vulnérabilité a été rendue publique le 31 mai 2025 et une mise à jour est recommandée pour corriger le problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, y compris le vol de données sensibles, la modification du contenu, l'installation de portes dérobées et l'utilisation du serveur pour lancer d'autres attaques. L'attaquant peut contourner les contrôles d'accès et obtenir un contrôle total sur l'environnement WordPress, en particulier si des images ou d'autres types de fichiers « sûrs » peuvent être téléchargés et inclus. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée pour obtenir un accès root au serveur, permettant un contrôle total sur l'infrastructure.
Cette vulnérabilité est actuellement publique et pourrait être ciblée par des acteurs malveillants. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation.
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
Statut de l'Exploit
EPSS
0.21% (percentile 43%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Newsletters vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de restreindre l'accès au fichier wp-config.php et de désactiver l'exécution de PHP dans les répertoires de téléchargement. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant le paramètre 'file' peut également aider à atténuer le risque. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n’y a pas de conflits avec d’autres plugins.
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-4857 is a Local File Inclusion vulnerability in the WordPress Newsletters plugin, allowing authenticated attackers to execute arbitrary PHP code. It affects versions 0.0.0–4.9.9.9 and has a HIGH severity rating.
If you are using the WordPress Newsletters plugin in versions 0.0.0 through 4.9.9.9, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WordPress Newsletters plugin to a patched version as soon as it is available. Until then, implement WAF rules and restrict file upload permissions as temporary mitigations.
While active exploitation has not been confirmed, the vulnerability is considered high severity and public PoC code is anticipated, increasing the likelihood of exploitation.
Refer to the WordPress security announcements page and the Newsletters plugin's official website for updates and advisories related to CVE-2025-4857.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.