Platform
wordpress
Component
wp-review
Opgelost in
5.3.6
CVE-2025-2158 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de WordPress Review Plugin: The Ultimate Solution for Building a Review Website plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 5.3.5. Een patch is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller, met minimaal Contributor-niveau toegang, in staat om willekeurige PHP-code uit te voeren op de server. Dit kan leiden tot het omzeilen van toegangscontroles, het stelen van gevoelige data (zoals database credentials of configuratiebestanden) en het compromitteren van de gehele WordPress-installatie. De impact is vergelijkbaar met andere LFI-kwetsbaarheden waarbij de aanvaller controle kan krijgen over de serveromgeving. De mogelijkheid om PHP-bestanden te uploaden en te includeren, of het gebruik van pearcmd op de server, vergroot de ernst van de kwetsbaarheid aanzienlijk.
Deze kwetsbaarheid is openbaar bekend en de publicatie van een proof-of-concept (POC) is waarschijnlijk. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven). De CVSS score van 8.8 (HIGH) duidt op een aanzienlijke dreiging. Er zijn geen bekende actieve campagnes gerapporteerd, maar de eenvoud van de exploitatie maakt het een aantrekkelijk doelwit voor aanvallers.
WordPress websites utilizing the 'WordPress Review Plugin: The Ultimate Solution for Building a Review Website' plugin, particularly those running versions 0.0.0 through 5.3.5, are at risk. Shared hosting environments where users have Contributor-level access are especially vulnerable, as they provide the necessary authentication to exploit the vulnerability. Sites with weak file upload permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query_vars['post_type']" /var/www/html/wp-content/plugins/the-ultimate-review-plugin-for-wordpress/• wordpress / composer / npm:
wp plugin list | grep "The Ultimate Solution for Building a Review Website"• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type f -mtime -7disclosure
Exploit Status
EPSS
0.52% (67% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WordPress Review Plugin naar een versie die de kwetsbaarheid verhelpt. Controleer de plugin-website of de WordPress repository voor de meest recente versie. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin. Implementeer restricties op het uploaden van bestanden en controleer de configuratie van pearcmd om te voorkomen dat deze misbruikt kan worden. WAF-regels die het includeren van willekeurige bestanden detecteren en blokkeren, kunnen ook helpen.
Actualice el plugin WordPress Review Plugin: The Ultimate Solution for Building a Review Website a la última versión disponible para solucionar esta vulnerabilidad de inclusión de archivos locales. Verifique que los permisos de los archivos y directorios sean los adecuados para evitar accesos no autorizados. Considere deshabilitar la ejecución de PHP en directorios donde no sea necesaria.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2158 is a Local File Inclusion vulnerability in the WordPress Review Plugin, allowing authenticated attackers to execute arbitrary files.
You are affected if you are using WordPress Review Plugin versions 0.0.0 through 5.3.5.
Upgrade to a patched version of the WordPress Review Plugin as soon as it is available. Disable the plugin as a temporary workaround.
While not confirmed, active exploitation is possible due to the vulnerability's high severity and ease of exploitation.
Refer to the WordPress Review Plugin developer's website and the WordPress security announcements page for updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.