Platform
wordpress
Component
xstore
Opgelost in
9.5.5
CVE-2025-11746 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de XStore WordPress theme. Deze kwetsbaarheid stelt geauthenticeerde aanvallers, met minimaal Subscriber-niveau toegang, in staat om willekeurige PHP-bestanden te includeren en uit te voeren. De kwetsbaarheid treedt op in versies van de theme van 0.0.0 tot en met 9.5.4 en is verholpen in versie 9.5.5.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het omzeilen van toegangscontroles, het verkrijgen van gevoelige data en zelfs code-uitvoering op de server. Aangezien de kwetsbaarheid vereist dat de aanvaller geauthenticeerd is (met Subscriber-niveau toegang of hoger), is de impact beperkter dan bij een volledig ongeautoriseerde kwetsbaarheid. Echter, in scenario's waar .php-bestanden kunnen worden geüpload en geïncludeerd, kan de aanvaller volledige controle over de server verkrijgen. Dit kan resulteren in data-exfiltratie, malware-installatie of het compromitteren van de gehele WordPress-installatie.
Op dit moment (2025-10-15) is er geen melding van actieve exploitatie van deze kwetsbaarheid. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De publicatie van de CVE is relatief recent, waardoor de kans op toekomstige exploitatie niet kan worden uitgesloten.
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Exploit Status
EPSS
0.15% (36% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de XStore WordPress theme naar versie 9.5.5 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het beperken van bestandstoegangrechten op de server zijn. Controleer de configuratie van de webserver om te zorgen dat .php-bestanden niet kunnen worden geüpload naar gevoelige directories. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te blokkeren. Na de upgrade, controleer de WordPress logs op ongebruikelijke activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare functie te gebruiken met de nieuwe versie.
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.