Platform
wordpress
Component
yoco-payment-gateway
Opgelost in
3.9.1
CVE-2025-13801 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de Yoco Payments plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, mogelijk met gevoelige informatie. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 3.9.0. Een fix is beschikbaar in versie 3.9.1.
Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om via de 'file' parameter in de plugin toegang te krijgen tot willekeurige bestanden op de server. Dit betekent dat de aanvaller potentieel toegang kan krijgen tot configuratiebestanden, database credentials, of andere gevoelige data die op de server zijn opgeslagen. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan in het ergste geval leiden tot volledige controle over de server. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met andere path traversal aanvallen waarbij gevoelige informatie wordt blootgesteld.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van deze kwetsbaarheid. De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-01-07. Er zijn geen publieke proof-of-concept exploits bekend. De ernst van de kwetsbaarheid is beoordeeld als HIGH (CVSS 7.5).
Websites using the Yoco Payments plugin, particularly those running older versions (0.0.0 - 3.9.0), are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to files on other websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'file=([^&]+)' /var/www/html/wp-content/plugins/yoco-payments/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/yoco-payments/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Yoco Payments plugin naar versie 3.9.1 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om tijdelijke maatregelen te nemen, zoals het beperken van de toegang tot de WordPress installatie via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met verdachte padtraversal patronen te blokkeren, bijvoorbeeld verzoeken die dubbele slashes (//) of padnavigatie sequenties (../) bevatten. Controleer ook de bestandsrechten op de server om ervoor te zorgen dat alleen de benodigde gebruikers en processen toegang hebben tot gevoelige bestanden. Na de upgrade, controleer de WordPress logs op verdachte activiteit gerelateerd aan de plugin.
Update naar versie 3.9.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13801 is a vulnerability in the Yoco Payments WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the Yoco Payments plugin version 0.0.0 through 3.9.0. Upgrade to version 3.9.1 or later to mitigate the risk.
Upgrade the Yoco Payments plugin to version 3.9.1 or later. As a temporary workaround, restrict file access permissions on the server.
There are currently no reports of active exploitation campaigns, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the Yoco Payments website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.