Plateforme
wordpress
Composant
workreap
Corrigé dans
3.3.6
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le plugin Workreap (theme's plugin) développé par AmentoTech. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin allant de 0.0.0 à 3.3.5. Une version corrigée, 3.3.6, est désormais disponible.
La vulnérabilité de traversal de chemin dans Workreap permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu. En manipulant les paramètres de l'application, un attaquant peut potentiellement lire des fichiers de configuration, des données sensibles, ou même exécuter du code malveillant si le serveur est mal configuré. L'impact peut aller de la divulgation d'informations confidentielles à la prise de contrôle complète du serveur WordPress. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, rendant l'ensemble du site web vulnérable.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la simplicité de l'exploitation rend cette vulnérabilité attrayante pour les attaquants. Aucune entrée n'est présente dans le KEV de CISA à ce jour. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/workreap/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Workreap vers la version 3.3.6 ou supérieure. Si la mise à jour n'est pas possible immédiatement, une solution temporaire consiste à restreindre les permissions d'accès aux fichiers et répertoires du serveur web. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin, telles que '../'. Vérifiez également les logs du serveur web pour détecter des tentatives d'accès non autorisées et appliquez des règles de filtrage appropriées.
Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59566 is a HIGH severity vulnerability in the Workreap plugin for WordPress that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using Workreap plugin versions 0.0.0 through 3.3.5. Upgrade to version 3.3.6 to resolve the vulnerability.
Upgrade the Workreap plugin to version 3.3.6 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the AmentoTech advisory and the WordPress plugin directory for updates and further information regarding CVE-2025-59566.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.