Plateforme
wordpress
Composant
anona
Corrigé dans
8.0.1
Une vulnérabilité de type Path Traversal a été découverte dans Anona, un plugin WordPress développé par AivahThemes. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité des données. Elle affecte les versions d'Anona comprises entre 0.0.0 et 8.0. Une mise à jour vers une version corrigée est recommandée.
La vulnérabilité de Path Traversal dans Anona permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers sensibles situés sur le serveur web. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des fichiers de code source contenant des secrets, ou des fichiers de données contenant des informations personnelles. L'attaquant pourrait également potentiellement écrire dans des fichiers, modifiant le comportement de l'application ou compromettant davantage le système. L'exploitation réussie de cette vulnérabilité pourrait entraîner une divulgation d'informations, une modification de données ou une prise de contrôle du serveur.
Cette vulnérabilité a été publiée le 22 janvier 2026. Sa sévérité est classée comme ÉLEVÉE avec un CVSS de 8.6. Il n'y a pas d'indication d'une exploitation active ou d'un ajout au KEV (CISA Known Exploited Vulnerabilities) à ce jour. Des preuves de concept publiques (PoC) pourraient être disponibles ou émerger, augmentant le risque d'exploitation.
Websites using the Anona WordPress plugin, particularly those running older versions (0.0.0 - 8.0), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and file permissions. Administrators who haven't implemented robust security practices or regularly monitor their WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Anona vers une version corrigée dès que possible. Si la mise à jour n'est pas immédiatement disponible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est recommandé de restreindre l'accès au plugin Anona via un pare-feu d'application web (WAF) en bloquant les requêtes contenant des séquences de caractères suspectes (par exemple, '..'). De plus, assurez-vous que les permissions sur les fichiers et répertoires du serveur sont correctement configurées pour empêcher l'accès non autorisé. Après la mise à jour, vérifiez que la vulnérabilité a été corrigée en effectuant une requête de type Path Traversal et en vous assurant qu'elle est bloquée.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68901 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read files outside the intended web root through path traversal.
If you are using Anona WordPress plugin versions 0.0.0 through 8.0, you are potentially affected by this vulnerability.
Upgrade to a patched version of the Anona plugin as soon as it becomes available. Until then, implement WAF rules and restrict file permissions.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-68901.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-68901.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.