Plateforme
wordpress
Composant
wplms_plugin
Corrigé dans
1.9.10
La vulnérabilité CVE-2025-69097 est une faille de type Path Traversal affectant le plugin WPLMS développé par VibeThemes. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle touche les versions de WPLMS comprises entre 0.0.0 et 1.9.9.5.4 incluses. Une correction est disponible et son application est fortement recommandée.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers sensibles présents sur le serveur web hébergeant WPLMS. Cela pourrait inclure des fichiers de configuration contenant des informations d'identification, des fichiers de sauvegarde contenant des données utilisateur, ou d'autres fichiers contenant des informations confidentielles. L'accès non autorisé à ces fichiers peut conduire à une compromission de la sécurité du site web et à la divulgation de données sensibles. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et représente un risque significatif.
La vulnérabilité CVE-2025-69097 a été publiée le 22 janvier 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de présence dans le KEV de CISA. Des Proof of Concept (PoC) publics pourraient émerger, augmentant le risque d'exploitation. Il est donc crucial de mettre en œuvre les mesures de mitigation dès que possible.
Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wplms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WPLMS vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions d'accès aux fichiers et répertoires du serveur web. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes malveillantes. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que le WAF est correctement configuré pour bloquer les requêtes suspectes.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-69097 is a HIGH severity vulnerability in WPLMS allowing attackers to read arbitrary files on the server. It affects versions 0.0.0 through 1.9.9.5.4.
Yes, if you are using WPLMS version 0.0.0 through 1.9.9.5.4, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade WPLMS to a patched version. Until a patch is available, implement temporary workarounds like restricting file access and using a WAF.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it's crucial to apply the patch promptly.
Refer to the VibeThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-69097.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.