Plateforme
wordpress
Composant
litho
Corrigé dans
3.0.1
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le thème WordPress Litho, permettant à un attaquant d'accéder à des fichiers arbitraires sur le serveur. Cette faille, classée à l'avertissement élevé (CVSS 8.6), affecte les versions de Litho comprises entre 0.0.0 et 3.0. La mise à jour vers la version 3.0.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles stockés sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données sensibles des utilisateurs. L'attaquant pourrait potentiellement obtenir un accès non autorisé à des informations confidentielles, compromettre la sécurité du site web et, dans certains cas, exécuter du code malveillant. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, ce qui signifie que n'importe qui peut tenter d'accéder aux fichiers.
Cette vulnérabilité a été publiée le 17 juin 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention dans le KEV de CISA. La vulnérabilité est potentiellement exploitable via des requêtes HTTP spécialement conçues, exploitant la capacité de traversal de chemin pour accéder à des fichiers en dehors du répertoire prévu.
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 26%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le thème Litho vers la version 3.0.1 ou supérieure, qui corrige la vulnérabilité de traversal de chemin. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès aux fichiers et répertoires du serveur web. Il est également recommandé de désactiver l'exécution de PHP dans les répertoires contenant des fichiers sensibles. Vérifiez après la mise à jour que le thème est correctement mis à jour et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49879 is a HIGH severity vulnerability in the Litho WordPress theme allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.0.
You are affected if your WordPress site uses the Litho theme and is running version 3.0 or earlier. Upgrade to 3.0.1 to resolve the issue.
Upgrade the Litho WordPress theme to version 3.0.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no indication that CVE-2025-49879 is being actively exploited, but it's crucial to apply the patch promptly.
Refer to the themezaa website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-49879.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.