Countdown, Coming Soon, Maintenance – Countdown & Clock <= 2.8.9.1 - Niet-geauthenticeerde Beperkte Lokale Bestandsinclusie
Platform
wordpress
Component
countdown-builder
Opgelost in
2.8.10
CVE-2025-2270 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Countdown, Coming Soon, Maintenance – Countdown & Clock plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om PHP-code uit te voeren op de server. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 2.8.9.1. Een update naar versie 2.8.10 is beschikbaar om dit probleem te verhelpen.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. De aanvaller kan willekeurige PHP-code uitvoeren, waardoor gevoelige informatie kan worden gestolen, configuratiebestanden kunnen worden gewijzigd of zelfs de hele website kan worden overgenomen. Dit is vergelijkbaar met andere LFI-exploits waarbij de aanvaller toegang krijgt tot systeembestanden en deze kan manipuleren. De impact is aanzienlijk, aangezien de plugin vaak wordt gebruikt voor tijdelijke website-onderhoudspagina's, wat de kans op blootstelling vergroot.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-04-04. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits bekend, maar de LFI-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's beschikbaar zullen komen. De ernst van de kwetsbaarheid, gecombineerd met de populariteit van de plugin, maakt het een aantrekkelijk doelwit voor aanvallers.
Wie Loopt Risicowordt vertaald…
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.65% (71% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 10KBekend
- Plugin-beoordeling
- 4.7
- Vereist WordPress
- 3.8+
- Compatibel tot
- 6.9.4
- Vereist PHP
- 5.3+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het updaten van de Countdown WordPress plugin naar versie 2.8.10 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de webservergebruiker om de schade te beperken in geval van een exploitatie. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels die het includeren van externe bestanden blokkeren, helpen. Controleer ook de WordPress plugin directory op updates en bekende exploits.
Hoe te verhelpenwordt vertaald…
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2025-2270 — LFI in Countdown WordPress Plugin?
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
Am I affected by CVE-2025-2270 in Countdown WordPress Plugin?
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
How do I fix CVE-2025-2270 in Countdown WordPress Plugin?
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
Is CVE-2025-2270 being actively exploited?
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Where can I find the official WordPress advisory for CVE-2025-2270?
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.