Plateforme
wordpress
Composant
bm-builder
Corrigé dans
3.16.4
La vulnérabilité CVE-2025-59002 représente un défaut de parcours de chemin (Path Traversal) au sein du composant BM Content Builder. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle affecte les versions de BM Content Builder comprises entre 0.0.0 et 3.16.3.3 incluses. Une mise à jour vers la version 3.16.3.3 est disponible pour corriger cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité de parcours de chemin peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web hébergeant BM Content Builder. Cela inclut des fichiers de configuration, des fichiers sources, des journaux d'activité et d'autres données confidentielles. L'attaquant pourrait également modifier ces fichiers, compromettant ainsi l'intégrité du système. La portée de l'attaque dépendra des permissions du serveur web et des fichiers accessibles. Une exploitation réussie pourrait mener à la divulgation d'informations sensibles, à la modification de fichiers système et, dans certains cas, à la prise de contrôle du serveur.
La vulnérabilité CVE-2025-59002 a été publiée le 26 septembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun proof-of-concept (PoC) public n'a été identifié. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une connaissance technique pour exploiter la vulnérabilité et de l'absence de PoC public.
WordPress sites utilizing the BM Content Builder plugin, particularly those running older versions (0.0.0–3.16.3.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored in configuration files or accessible through the WordPress file system are at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bm-builder/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bm-builder/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour BM Content Builder vers la version 3.16.3.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions du répertoire d'installation de BM Content Builder pour limiter l'accès aux fichiers sensibles. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes malveillantes. Surveillez les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte.
Actualice el plugin BM Content Builder a la versión 3.16.3.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Verifique las fuentes oficiales del plugin o el repositorio de WordPress para obtener la última versión. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59002 is a HIGH severity vulnerability in BM Content Builder allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.16.3.3.
You are affected if your WordPress site uses BM Content Builder versions 0.0.0 through 3.16.3.3. Check your plugin versions immediately.
Upgrade BM Content Builder to version 3.16.3.3 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-59002, but the vulnerability's nature makes it a potential target.
Refer to the BM Content Builder official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.