Plateforme
wordpress
Composant
filr-protection
Corrigé dans
1.2.11
Une vulnérabilité d'accès arbitraire de fichiers (Path Traversal) a été découverte dans WP Chill Filr, affectant les versions de 0.0.0 à 1.2.10. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. La version corrigée, 1.2.11, est maintenant disponible et doit être installée immédiatement pour atténuer ce risque.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur hébergeant WP Chill Filr. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des données utilisateur, ou même du code source. Un attaquant pourrait potentiellement obtenir un accès non autorisé à des informations confidentielles, compromettre la sécurité du site web, ou même exécuter du code malveillant si des fichiers exécutables sont accessibles. Bien que la vulnérabilité ne permette pas directement l'exécution de code, l'accès à des fichiers de configuration pourrait révéler des informations permettant d'exploiter d'autres faiblesses du système.
Cette vulnérabilité a été publiée le 18 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une connaissance technique pour exploiter efficacement une attaque Path Traversal.
WordPress websites utilizing the WP Chill Filr plugin, particularly those running older versions (0.0.0 through 1.2.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/filr-protection/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/filr-protection/../../../../etc/passwd' # Attempt to access sensitive file via path traversaldisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour WP Chill Filr vers la version 1.2.11. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire d'installation de WP Chill Filr via les paramètres du serveur web (Apache, Nginx). Vous pouvez également configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères typiques d'attaques Path Traversal, telles que ../. Vérifiez attentivement les fichiers de configuration de WP Chill Filr pour détecter toute trace d'accès non autorisé après la mise à jour.
Mettre à jour vers la version 1.2.11, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64230 is a path traversal vulnerability in WP Chill Filr allowing attackers to read arbitrary files. It has a CVSS score of 7.7 (HIGH) and affects versions 0.0.0 through 1.2.10.
You are affected if you are using WP Chill Filr versions 0.0.0 to 1.2.10. Check your plugin version and upgrade immediately if vulnerable.
Upgrade WP Chill Filr to version 1.2.11 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
While no active exploitation campaigns have been confirmed, the ease of exploitation suggests a high probability of exploitation if left unpatched.
Refer to the WP Chill Filr website or WordPress plugin repository for the official advisory and release notes related to this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.