Plateforme
wordpress
Composant
vikinger
Corrigé dans
1.9.33
La vulnérabilité CVE-2025-4946 concerne une faille d'accès arbitraire de fichiers dans le thème Vikinger pour WordPress. Cette faille permet à un attaquant authentifié, avec un accès de niveau Abonné ou supérieur, de supprimer des fichiers arbitraires sur le serveur. L'impact peut être sévère, incluant potentiellement l'exécution de code à distance si des fichiers critiques comme wp-config.php sont supprimés. Les versions affectées sont celles allant de 0.0.0 à 1.9.32.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié de contourner les contrôles de sécurité et de supprimer des fichiers sensibles sur le serveur WordPress. La suppression de fichiers de configuration tels que wp-config.php peut permettre à l'attaquant de compromettre l'ensemble de l'installation WordPress, en modifiant les paramètres de la base de données ou en injectant du code malveillant. Le risque d'exécution de code à distance est particulièrement préoccupant, car il permettrait à l'attaquant de prendre le contrôle complet du serveur. Cette vulnérabilité exploite une absence de validation adéquate des chemins de fichiers dans la fonction vikingerdeleteactivitymediaajax().
Cette vulnérabilité a été publiée le 2 juillet 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation potentielle pourrait en faire une cible pour les acteurs malveillants. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress websites using the Vikinger theme, particularly those with the Vikinger Media plugin installed and active, are at risk. Sites with weak password policies or overly permissive user roles are especially vulnerable, as an attacker could easily gain Subscriber-level access. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'vikinger_delete_activity_media_ajax' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep vikinger• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=vikinger_delete_activity_media_ajax | grep -i '200 OK'disclosure
Statut de l'Exploit
EPSS
2.19% (percentile 84%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le thème Vikinger vers une version corrigée, dès qu'elle sera disponible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé de restreindre l'accès aux fichiers sensibles et de renforcer les permissions sur le serveur. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte. Il est également possible de désactiver temporairement le plugin Vikinger Media si la mise à jour n'est pas immédiatement disponible.
Actualice el tema Vikinger a una versión posterior a 1.9.32 para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Asegúrese de que el plugin Vikinger Media también esté actualizado. Verifique los permisos de los archivos y directorios para limitar el acceso y reducir el riesgo de explotación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-4946 is a HIGH severity vulnerability in the Vikinger WordPress theme allowing authenticated users to delete arbitrary files, potentially leading to remote code execution if critical files like wp-config.php are targeted. It affects versions 0.0.0–1.9.32.
You are affected if your WordPress site uses the Vikinger theme, specifically versions 0.0.0 through 1.9.32, and the Vikinger Media plugin is installed and active. Check your theme version immediately.
Upgrade the Vikinger WordPress theme to a patched version as soon as it becomes available. Until then, restrict file permissions and consider using a WAF to mitigate the risk.
While no public exploits have been released yet, the vulnerability's ease of exploitation suggests active exploitation is possible. Monitor your systems closely.
Check the official Vikinger WordPress theme website and the WordPress plugin repository for updates and advisories related to CVE-2025-4946.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.