Platform
wordpress
Component
store-locator
Opgelost in
3.98.11
CVE-2025-23422 beschrijft een Path Traversal kwetsbaarheid in de moaluko Store Locator plugin voor WordPress. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, waardoor een aanvaller potentieel gevoelige lokale bestanden kan inlezen. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 3.98.10. Een update naar versie 3.98.11 lost dit probleem op.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige lokale bestanden op de server te lezen. Dit kan leiden tot de onthulling van gevoelige informatie, zoals configuratiebestanden, database credentials of broncode. Afhankelijk van de bestanden die worden gelezen, kan de aanvaller mogelijk verdere toegang tot het systeem verkrijgen, bijvoorbeeld door toegang te krijgen tot database credentials en deze te gebruiken om de database te compromitteren. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle over de server kan verwerven.
CVE-2025-23422 werd publiekelijk bekendgemaakt op 2025-01-24. Er zijn momenteel geen openbare proof-of-concept exploits bekend, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De KEV status is momenteel onbekend. Er zijn geen bevestigde rapporten van actieve exploitatie op dit moment.
WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list --status=inactive | grep store-locator• wordpress / plugin:
wp plugin update --all• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure• generic web:
grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logsdisclosure
Exploit Status
EPSS
0.17% (38% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-23422 is het updaten van de moaluko Store Locator plugin naar versie 3.98.11 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken in geval van een succesvolle exploitatie. Controleer ook de WordPress plugin directory op eventuele aanvullende beveiligingsaanbevelingen. Na de upgrade, controleer de webserver logs op verdachte activiteit die verband kan houden met pogingen tot file inclusion.
Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-23422 is a Path Traversal vulnerability in the moaluko Store Locator WordPress plugin, allowing attackers to potentially include arbitrary files and access sensitive data.
You are affected if you are using moaluko Store Locator versions 0.0.0 through 3.98.10. Upgrade to 3.98.11 or later to mitigate the risk.
The recommended fix is to upgrade the moaluko Store Locator plugin to version 3.98.11 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official moaluko Store Locator website or WordPress plugin repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.