Platform
wordpress
Component
mayosis-core
Opgelost in
5.4.2
CVE-2025-1565 beschrijft een Arbitrary File Access kwetsbaarheid in de Mayosis Core WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treft versies van Mayosis Core van 0.0.0 tot en met 5.4.1. Een fix is beschikbaar via een plugin update.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om gevoelige bestanden op de server te lezen, zoals configuratiebestanden, database credentials of broncode. Het misbruiken van deze kwetsbaarheid kan leiden tot datalekken, compromittering van de server en verdere ongeautoriseerde toegang. De kwetsbaarheid bevindt zich in het bestand library/wave-audio/peaks/remote_dl.php, wat suggereert dat de kwetsbaarheid gerelateerd is aan het downloaden van audiobestanden. Een succesvolle exploitatie vereist geen authenticatie, waardoor de aanvalsoppervlakte aanzienlijk wordt vergroot.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-04-25. Er zijn momenteel geen bekende actieve campagnes of publieke proof-of-concept exploits, maar de lage authenticatievereiste maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt mogelijk in de toekomst toegevoegd aan de CISA KEV catalogus.
WordPress websites using the Mayosis Core plugin, particularly those running versions 0.0.0 through 5.4.1, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable, as attackers could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r 'remote_dl.php' /var/www/html/wp-content/plugins/mayosis-core/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/mayosis-core/library/wave-audio/peaks/remote_dl.php• wordpress / composer / npm:
wp plugin list --status=inactive | grep mayosis-coredisclosure
Exploit Status
EPSS
1.25% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Mayosis Core plugin naar de meest recente versie, die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de toegang tot het library/wave-audio/peaks/remote_dl.php bestand via een web application firewall (WAF) of proxy server. Controleer de WordPress plugin directory op officiële updates en volg de instructies van de plugin-ontwikkelaar. Na de update, verifieer de fix door te proberen een willekeurig bestand op de server te lezen via de kwetsbare endpoint.
Actualice el plugin Mayosis Core a la última versión disponible para solucionar esta vulnerabilidad. Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización. Esta actualización corrige la vulnerabilidad de lectura arbitraria de archivos, protegiendo su sitio web de accesos no autorizados a archivos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-1565 is a vulnerability in the Mayosis Core WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if your WordPress site uses the Mayosis Core plugin and is running version 0.0.0 through 5.4.1. Check your plugin versions immediately.
Upgrade Mayosis Core to the latest available version as soon as a patch is released. Until then, restrict access to the vulnerable file using web server configuration or a WAF.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited soon.
Check the Mayosis Core plugin website or WordPress plugin repository for updates and advisories related to CVE-2025-1565.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.