Plateforme
wordpress
Composant
anona
Corrigé dans
8.0.1
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans le plugin WordPress Anona développé par AivahThemes. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions d'Anona comprises entre 0.0.0 et 8.0 inclus. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web, potentiellement contenant des informations confidentielles telles que des mots de passe, des clés API, des données de configuration ou des données sensibles des utilisateurs. L'attaquant pourrait également modifier ou supprimer des fichiers, compromettant ainsi l'intégrité du site web. Le risque est exacerbé si le serveur web est configuré pour servir des fichiers sensibles ou si des informations d'identification sensibles sont stockées dans des fichiers accessibles via cette vulnérabilité. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la nature de la vulnérabilité la rend facilement exploitable.
Cette vulnérabilité est actuellement publique et n'a pas été ajoutée au KEV de CISA. Il n'existe pas de preuve d'exploitation active à ce jour, mais la simplicité de l'exploitation rend cette vulnérabilité attrayante pour les attaquants. La publication de la CVE a eu lieu le 2026-01-22.
WordPress sites using the Anona plugin, particularly those with default configurations or shared hosting environments, are at increased risk. Sites that haven't implemented robust file access controls or regularly scan for vulnerabilities are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive --all | grep anonadisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Anona vers une version corrigée dès qu'elle est disponible. En attendant, des mesures temporaires peuvent être prises pour réduire le risque. Il est possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de path traversal (../). De plus, restreindre les autorisations d'accès aux fichiers et répertoires du serveur web peut limiter l'impact d'une exploitation réussie. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n'y a pas de conflits avec d’autres plugins.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68902 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read arbitrary files on the server through path traversal. It affects versions 0.0.0 through 8.0.
If you are using the Anona WordPress plugin in versions 0.0.0 through 8.0, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Anona plugin. Until a patch is released, consider temporary workarounds like WAF rules and restricting file access permissions.
As of the publication date, there is no confirmed active exploitation of CVE-2025-68902, but the vulnerability's nature suggests potential for exploitation.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates related to CVE-2025-68902.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.