Plateforme
wordpress
Composant
download-counter
Corrigé dans
1.4.1
La vulnérabilité CVE-2025-60242 est une faille d'accès arbitraire de fichiers (Path Traversal) découverte dans le plugin Download Counter. Cette faille permet à un attaquant de lire des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle affecte les versions de Download Counter comprises entre 0.0.0 et 1.4 incluses. Une mise à jour vers la version 1.4.1 corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web hébergeant le plugin Download Counter. Cela inclut des fichiers de configuration, des données sensibles des utilisateurs, ou même des fichiers système. L'attaquant pourrait ainsi obtenir des informations confidentielles, modifier des fichiers, ou même compromettre l'ensemble du serveur. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et constitue un risque significatif pour les sites web utilisant Download Counter.
La vulnérabilité CVE-2025-60242 a été publiée le 6 novembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au KEV de CISA. Des preuves de concept (PoC) pourraient être publiées à l'avenir, augmentant le risque d'exploitation.
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Download Counter vers la version 1.4.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions d'accès au répertoire du plugin. Il est également recommandé de vérifier régulièrement les fichiers de log du serveur web pour détecter toute tentative d'accès non autorisé. Enfin, l'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité.
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-60242 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through path traversal in the Anatoly Download Counter plugin versions 0.0.0–1.4.
You are affected if your WordPress site uses the Anatoly Download Counter plugin and is running a version between 0.0.0 and 1.4, inclusive.
Upgrade the Anatoly Download Counter plugin to version 1.4.1 or later. Consider WAF rules to block path traversal attempts as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-60242, but it's crucial to apply the patch promptly.
Refer to the Anatoly Download Counter plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.