Plateforme
wordpress
Composant
movie-booking
Corrigé dans
1.1.6
Une vulnérabilité d'accès arbitraire de fichiers, également connue sous le nom de Path Traversal, a été découverte dans le plugin Ovatheme Movie Booking pour WordPress. Cette faille permet à un attaquant de contourner les restrictions de sécurité et d'accéder à des fichiers situés en dehors du répertoire prévu. Elle affecte les versions du plugin de 0.0.0 à 1.1.5 et une correction est disponible dans la version 1.1.6.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles sur le serveur web, tels que des fichiers de configuration, des fichiers sources du site web, ou même des données sensibles stockées par d'autres applications. Un attaquant pourrait potentiellement obtenir des informations d'identification, des clés API, ou d'autres données confidentielles. Bien que la vulnérabilité ne permette pas directement l'exécution de code arbitraire, l'accès à des fichiers de configuration pourrait révéler des informations permettant d'exploiter d'autres faiblesses du système. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès à des données sensibles dans le passé.
Cette vulnérabilité a été publiée le 22 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité la rend potentiellement exploitable par des attaquants expérimentés. La probabilité d'exploitation est considérée comme moyenne en raison de la nature publique de la vulnérabilité et de l'absence de mitigations proactives.
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-bookingdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Ovatheme Movie Booking vers la version 1.1.6 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin. En attendant la mise à jour, vous pouvez configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de Path Traversal (par exemple, ../). Vérifiez également les permissions des fichiers et des répertoires sur le serveur web pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux fichiers sensibles. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en essayant d'accéder à un fichier sensible en dehors du répertoire prévu.
Mettre à jour vers la version 1.1.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67963 is a vulnerability in Ovatheme Movie Booking allowing attackers to read arbitrary files on the server. It has a HIGH severity rating (CVSS: 8.6) and affects versions 0.0.0 through 1.1.5.
You are affected if your WordPress site uses the Ovatheme Movie Booking plugin and is running version 0.0.0 through 1.1.5. Check your plugin versions immediately.
Upgrade the Ovatheme Movie Booking plugin to version 1.1.6 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-67963, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Ovatheme Movie Booking plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-67963.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.