Platform
wordpress
Component
post-slides
Opgelost in
1.0.2
CVE-2025-15491 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Post Slides WordPress plugin. Deze kwetsbaarheid stelt geautoriseerde gebruikers, zoals bijdragers of hoger, in staat om bestanden op de server in te lezen door middel van het manipuleren van shortcode attributen. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.0.1. Een upgrade naar een beveiligde versie is noodzakelijk om de risico's te mitigeren.
Een succesvolle exploitatie van deze LFI kwetsbaarheid kan leiden tot het inlezen van gevoelige bestanden op de server, zoals configuratiebestanden, database credentials of broncode. Dit kan resulteren in het blootleggen van vertrouwelijke informatie, het verkrijgen van ongeautoriseerde toegang tot het systeem en mogelijk zelfs het uitvoeren van code. De impact is aanzienlijk, aangezien geautoriseerde gebruikers al toegang hebben tot het WordPress dashboard, waardoor de aanval relatief eenvoudig kan zijn. Het is vergelijkbaar met andere LFI kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de stroom van de applicatie te beïnvloeden en toegang te krijgen tot bestanden buiten de beoogde directory.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat dit in de toekomst kan gebeuren. De publicatie datum is 2026-02-07. Het is belangrijk om deze kwetsbaarheid proactief aan te pakken om potentiële risico's te minimaliseren.
WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.
• wordpress / composer / npm:
grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/• wordpress / composer / npm:
wp plugin list --status=all | grep "post-slides"• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de Post Slides plugin naar een beveiligde versie. Controleer de WordPress plugin directory of de website van de ontwikkelaar voor de nieuwste versie. Indien een upgrade momenteel niet mogelijk is, kan het tijdelijk beperken van de rechten van gebruikers met bijdrager- of hogere rollen helpen om de impact te verminderen. Het implementeren van een Web Application Firewall (WAF) met regels die LFI pogingen detecteren en blokkeren kan ook een extra beveiligingslaag bieden. Zorg ervoor dat de WordPress installatie up-to-date is met de laatste beveiligingspatches.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15491 is a Local File Inclusion vulnerability in the Post Slides WordPress plugin, allowing authenticated users to read arbitrary files on the server. It affects versions 0 through 1.0.1 and has a CVSS score of 7.5.
You are affected if your WordPress site uses the Post Slides plugin in versions 0–1.0.1 and you have users with contributor or higher roles.
Upgrade to the latest version of the Post Slides plugin as soon as a patch is released. Until then, restrict access to the plugin's shortcode functionality or implement server-side input validation.
No active exploitation has been confirmed at this time, but the ease of exploitation suggests a PoC may emerge.
Please refer to the Post Slides plugin developer's website or WordPress.org plugin repository for the official advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.