Platform
wordpress
Component
countdown-builder
Opgelost in
2.8.10
CVE-2025-2270 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Countdown, Coming Soon, Maintenance – Countdown & Clock plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om PHP-code uit te voeren op de server. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 2.8.9.1. Een update naar versie 2.8.10 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. De aanvaller kan willekeurige PHP-code uitvoeren, waardoor gevoelige informatie kan worden gestolen, configuratiebestanden kunnen worden gewijzigd of zelfs de hele website kan worden overgenomen. Dit is vergelijkbaar met andere LFI-exploits waarbij de aanvaller toegang krijgt tot systeembestanden en deze kan manipuleren. De impact is aanzienlijk, aangezien de plugin vaak wordt gebruikt voor tijdelijke website-onderhoudspagina's, wat de kans op blootstelling vergroot.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-04-04. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits bekend, maar de LFI-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's beschikbaar zullen komen. De ernst van de kwetsbaarheid, gecombineerd met de populariteit van de plugin, maakt het een aantrekkelijk doelwit voor aanvallers.
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockdisclosure
Exploit Status
EPSS
0.65% (71% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Countdown WordPress plugin naar versie 2.8.10 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de webservergebruiker om de schade te beperken in geval van een exploitatie. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels die het includeren van externe bestanden blokkeren, helpen. Controleer ook de WordPress plugin directory op updates en bekende exploits.
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2270 is a Local File Inclusion vulnerability in the Countdown plugin for WordPress, allowing attackers to potentially execute arbitrary code. It affects versions 0.0.0–2.8.9.1.
If you are using the Countdown plugin in WordPress versions 0.0.0 through 2.8.9.1, you are potentially affected by this vulnerability.
Upgrade the Countdown plugin to version 2.8.10 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While active exploitation has not been confirmed, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.