Download Counter Button <= 1.8.6.7 - Niet-geauthenticeerde willekeurige bestandsdownload
Platform
wordpress
Component
download-counter-button
Opgelost in
1.8.7
CVE-2025-11072 beschrijft een Arbitrary File Access kwetsbaarheid in de MelAbu WP Download Counter Button WordPress plugin. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige bestanden op de server te lezen of te downloaden. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.8.6.7. Een patch is beschikbaar in latere versies van de plugin.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, database dumps, broncode en andere vertrouwelijke informatie. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan in ernstige gevallen leiden tot volledige compromittering van de server en de daaraan gekoppelde data. Het is vergelijkbaar met situaties waarin een aanvaller toegang krijgt tot de root directory van een website en gevoelige bestanden kan downloaden.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-11-05. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is eenvoudig te exploiteren en kan een aantrekkelijk doelwit vormen voor kwaadwillenden. De ernst van de kwetsbaarheid is hoog, gezien de mogelijkheid van ongeautoriseerde toegang tot gevoelige data.
Wie Loopt Risicowordt vertaald…
Websites using the MelAbu WP Download Counter Button plugin, particularly those with sensitive data stored on the server or with permissive file system permissions, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
grep -r "wp_enqueue_style('melabu-counter-button',\s*plugin_dir_url(__FILE__)"• wordpress / composer / npm:
wp plugin list | grep melabu• wordpress / composer / npm:
wp plugin status | grep melabu• generic web: Check for unusual file downloads via the plugin's download button. Monitor access logs for requests to files outside the expected download directory.
Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.10% (28% percentiel)
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het upgraden van de MelAbu WP Download Counter Button plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) die pogingen tot het downloaden van willekeurige bestanden blokkeert. Controleer ook de WordPress configuratie op onnodige bestandsrechten.
Hoe te verhelpen
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2025-11072 — Arbitrary File Access in MelAbu WP Download Counter Button?
CVE-2025-11072 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on servers running the MelAbu WP Download Counter Button plugin due to insufficient path validation.
Am I affected by CVE-2025-11072 in MelAbu WP Download Counter Button?
You are affected if you are using the MelAbu WP Download Counter Button plugin versions 0.0 through 1.8.6.7. Upgrade to a patched version as soon as it's available.
How do I fix CVE-2025-11072 in MelAbu WP Download Counter Button?
Upgrade the MelAbu WP Download Counter Button plugin to the latest available version. As a temporary workaround, disable the plugin or restrict file system permissions.
Is CVE-2025-11072 being actively exploited?
As of 2025-11-05, there are no known public exploits, but it's crucial to apply the patch promptly to prevent potential exploitation.
Where can I find the official MelAbu WP Download Counter Button advisory for CVE-2025-11072?
Check the official MelAbu WP Download Counter Button plugin website and WordPress plugin repository for updates and security advisories related to CVE-2025-11072.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.