Plateforme
wordpress
Composant
pt-luxa-addons
Corrigé dans
1.2.3
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans le plugin PT Luxa Addons. Cette faille permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.2.2. Une version corrigée, 1.2.3, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'accéder à des fichiers arbitraires sur le serveur web hébergeant le plugin PT Luxa Addons. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou des fichiers de données contenant des informations personnelles. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code malveillant sur le serveur, en téléchargeant et en exécutant des scripts malveillants. Le risque est accru si le serveur héberge d'autres applications ou services, car l'attaquant pourrait potentiellement utiliser cette vulnérabilité comme point de départ pour des attaques plus larges.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indications d'exploitation active à grande échelle, mais la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable. Aucune entrée n'est présente dans le KEV (Know Exploited Vulnerabilities) de CISA à ce jour. La publication de la CVE a eu lieu le 22 octobre 2025.
Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*• generic web:
curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'pt-luxa-addons'• wordpress / composer / npm:
wp plugin update pt-luxa-addonsdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace est de mettre à jour le plugin PT Luxa Addons vers la version 1.2.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web. Vous pouvez également mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/'. Surveillez les journaux d'accès du serveur web pour détecter des tentatives d'accès à des fichiers non autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été compromis.
Actualice el plugin PT Luxa Addons a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-60217 is a HIGH severity vulnerability in the PT Luxa Addons WordPress plugin allowing attackers to read arbitrary files via path traversal. Versions 0.0.0–1.2.2 are affected.
You are affected if your WordPress site uses the PT Luxa Addons plugin and is running version 0.0.0 through 1.2.2. Check your plugin versions immediately.
Upgrade the PT Luxa Addons plugin to version 1.2.3 or later. If immediate upgrade isn't possible, implement WAF rules to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the ypromo website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-60217.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.