Platform
wordpress
Component
xlsx-viewer
Opgelost in
2.1.2
CVE-2025-23562 beschrijft een 'Path Traversal' kwetsbaarheid in de XLSXviewer WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om, door middel van manipulatie van paden, toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 2.1.1. Een update naar versie 2.1.2 is beschikbaar om dit probleem te verhelpen.
Deze 'Path Traversal' kwetsbaarheid in XLSXviewer stelt een aanvaller in staat om willekeurige bestanden op de webserver te lezen, inclusief configuratiebestanden, broncode en gevoelige data. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de controle over de website overnemen, gevoelige informatie stelen of malware installeren. De impact is aanzienlijk, aangezien de kwetsbaarheid het mogelijk maakt om de integriteit en vertrouwelijkheid van de website en de daaraan verbonden data in gevaar te brengen. Een succesvolle exploitatie kan leiden tot data-exfiltratie en een compromittering van de hele WordPress-omgeving.
Op dit moment (2025-01-22) zijn er geen publieke exploits bekend voor CVE-2025-23562. De kwetsbaarheid is recentelijk gepubliceerd en de kans op actieve exploitatie is momenteel laag, maar de impact is hoog. Het is aan te raden om de plugin zo snel mogelijk te patchen. Er is geen vermelding op CISA KEV op dit moment.
WordPress websites utilizing the XLSXviewer plugin, particularly those running older, unpatched versions (0.0.0–2.1.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites that process user-supplied data without proper sanitization are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xlsx-viewer/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/xlsx-viewer/../../../../etc/passwd' # Check for file accessdisclosure
Exploit Status
EPSS
0.26% (49% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-23562 is het updaten van de XLSXviewer plugin naar versie 2.1.2 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de XLSXviewer directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken met padmanipulatie te blokkeren (bijvoorbeeld verzoeken die ../ bevatten). Controleer ook de bestandsrechten van de XLSXviewer directory om ervoor te zorgen dat alleen de webserver-gebruiker er toegang toe heeft. Na de upgrade, controleer de toegangslogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen een bestand buiten de toegestane directory te benaderen.
Actualice el plugin XLSXviewer a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-23562 is a vulnerability in the XLSXviewer WordPress plugin that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using XLSXviewer versions 0.0.0 through 2.1.1 on your WordPress site. Check your plugin versions immediately.
Upgrade the XLSXviewer plugin to version 2.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.