Platform
wordpress
Component
download-counter-button
Opgelost in
1.8.7
CVE-2025-11072 beschrijft een Arbitrary File Access kwetsbaarheid in de MelAbu WP Download Counter Button WordPress plugin. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige bestanden op de server te lezen of te downloaden. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.8.6.7. Een patch is beschikbaar in latere versies van de plugin.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, database dumps, broncode en andere vertrouwelijke informatie. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan in ernstige gevallen leiden tot volledige compromittering van de server en de daaraan gekoppelde data. Het is vergelijkbaar met situaties waarin een aanvaller toegang krijgt tot de root directory van een website en gevoelige bestanden kan downloaden.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-11-05. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is eenvoudig te exploiteren en kan een aantrekkelijk doelwit vormen voor kwaadwillenden. De ernst van de kwetsbaarheid is hoog, gezien de mogelijkheid van ongeautoriseerde toegang tot gevoelige data.
Websites using the MelAbu WP Download Counter Button plugin, particularly those with sensitive data stored on the server or with permissive file system permissions, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "wp_enqueue_style('melabu-counter-button',\s*plugin_dir_url(__FILE__)"• wordpress / composer / npm:
wp plugin list | grep melabu• wordpress / composer / npm:
wp plugin status | grep melabu• generic web: Check for unusual file downloads via the plugin's download button. Monitor access logs for requests to files outside the expected download directory.
disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de MelAbu WP Download Counter Button plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) die pogingen tot het downloaden van willekeurige bestanden blokkeert. Controleer ook de WordPress configuratie op onnodige bestandsrechten.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-11072 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on servers running the MelAbu WP Download Counter Button plugin due to insufficient path validation.
You are affected if you are using the MelAbu WP Download Counter Button plugin versions 0.0 through 1.8.6.7. Upgrade to a patched version as soon as it's available.
Upgrade the MelAbu WP Download Counter Button plugin to the latest available version. As a temporary workaround, disable the plugin or restrict file system permissions.
As of 2025-11-05, there are no known public exploits, but it's crucial to apply the patch promptly to prevent potential exploitation.
Check the official MelAbu WP Download Counter Button plugin website and WordPress plugin repository for updates and security advisories related to CVE-2025-11072.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.