Plateforme
wordpress
Composant
wp-pipes
Corrigé dans
1.4.4
La vulnérabilité CVE-2025-60227 représente une faille d'accès arbitraire de fichier (Path Traversal) au sein du plugin WP Pipes pour WordPress. Cette faille permet à un attaquant non authentifié de lire des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données sensibles. Elle affecte les versions de WP Pipes comprises entre 0.0.0 et 1.4.3 incluses. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers arbitraires sur le serveur web hébergeant le site WordPress. Cela peut inclure des fichiers de configuration contenant des informations d'identification sensibles, des fichiers de code source contenant des secrets, ou des fichiers de données contenant des informations personnelles. L'attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code malveillant sur le serveur si des fichiers exécutables sont accessibles. Le risque est aggravé si le serveur héberge plusieurs sites WordPress, car l'attaquant pourrait potentiellement compromettre l'ensemble de l'infrastructure.
La vulnérabilité CVE-2025-60227 a été rendue publique le 22 octobre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de sa présence dans le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress websites utilizing the WP Pipes plugin, particularly those running older versions (0.0.0 - 1.4.3), are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates or implement workarounds.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/wp-pipes.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WP Pipes vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de restreindre l'accès aux fichiers sensibles via les configurations du serveur web (par exemple, en utilisant des règles .htaccess pour empêcher l'accès direct aux fichiers sensibles). L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité. Vérifiez après la mise à jour que les permissions des fichiers et dossiers sont correctement configurées et limitées au strict minimum nécessaire.
Aucun correctif connu n'est disponible. Veuillez examiner en détail les informations relatives à la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-60227 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server. It affects versions 0.0.0 through 1.4.3.
You are affected if your WordPress site uses WP Pipes version 0.0.0 to 1.4.3. Check your plugin versions immediately.
Upgrade WP Pipes to the latest available version as soon as a patch is released by the vendor. Until then, consider WAF rules or restricting file access permissions.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Check the ThimPress website and WordPress plugin repository for updates and advisories related to CVE-2025-60227.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.