Platform
wordpress
Component
car-dealer-automotive-responsive
Opgelost in
1.6.4
CVE-2025-1282 beschrijft een kwetsbaarheid voor Arbitrary File Access in de Car Dealer Automotive WordPress Theme – Responsive. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot remote code execution. De kwetsbaarheid treft versies van het thema van 1.0.0 tot en met 1.6.3. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van CVE-2025-1282 kan verstrekkende gevolgen hebben. Geauthenticeerde aanvallers met Subscriber-niveau toegang of hoger kunnen willekeurige bestanden op de server verwijderen. Het verwijderen van kritieke bestanden, zoals wp-config.php, kan leiden tot volledige controle over de WordPress-installatie, waardoor de aanvaller code kan uitvoeren, gevoelige gegevens kan stelen en de website kan compromitteren. Daarnaast kan de add_car() functie mogelijk gebruikt worden om willekeurige bestanden te lezen, wat de potentie voor data-exfiltratie vergroot. Dit is vergelijkbaar met eerdere WordPress thema kwetsbaarheden waarbij onvoldoende validatie van bestandspaden werd gebruikt.
CVE-2025-1282 is openbaar bekend gemaakt op 2025-02-27. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is ernstig genoeg om actief te worden misbruikt. De CISA EPSS score is nog niet bekend, maar gezien de mogelijkheid tot remote code execution wordt een medium tot hoge waarschijnlijkheid van exploitatie verwacht. Monitor de WordPress-installatie op verdachte activiteiten.
WordPress websites using the Car Dealer Automotive WordPress Theme – Responsive are at risk. Specifically, sites running versions 1.0.0 through 1.6.3 are vulnerable. Shared hosting environments are particularly at risk, as they often have limited control over file permissions and security configurations. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
wp plugin list | grep 'Car Dealer Automotive WordPress Theme'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'delete_post_photo' /var/www/html/wp-content/plugins/car-dealer-responsive/• wordpress / composer / npm:
wp plugin status | grep 'Car Dealer Automotive WordPress Theme'disclosure
Exploit Status
EPSS
1.00% (77% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-1282 is het upgraden van de Car Dealer Automotive WordPress Theme – Responsive naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de bestandstoegangsrechten op de server. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het verwijderen van bestanden via de deletepostphoto() en add_car() functies blokkeren. Controleer de WordPress-installatie op verdachte bestanden of wijzigingen die duiden op een inbreuk.
Actualice el tema Car Dealer Automotive WordPress Theme – Responsive a la última versión disponible (superior a 1.6.3) para corregir la vulnerabilidad de eliminación y lectura arbitraria de archivos. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-1282 is a HIGH severity vulnerability in the Car Dealer Automotive WordPress Theme allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
Yes, if your WordPress site uses the Car Dealer Automotive WordPress Theme – Responsive version 1.0.0–1.6.3, you are affected by this vulnerability.
Upgrade the Car Dealer Automotive WordPress Theme – Responsive to a patched version. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no indication of active exploitation, but the vulnerability's potential for RCE makes it a potential target.
Refer to the official WordPress plugin repository and the theme developer's website for updates and advisories related to CVE-2025-1282.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.