Platform
wordpress
Component
image-shadow
Opgelost in
1.1.1
CVE-2025-24765 beschrijft een 'Path Traversal' kwetsbaarheid in de Image Shadow plugin. Deze kwetsbaarheid stelt aanvallers in staat om via manipulatie van paden toegang te krijgen tot willekeurige bestanden op de server. De kwetsbaarheid treft versies van Image Shadow van 0.0.0 tot en met 1.1.0. Een fix is beschikbaar in versie 1.1.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver waarop de WordPress-site draait. Dit omvat potentieel configuratiebestanden, database dumps, of andere bestanden die vertrouwelijke informatie bevatten. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot volledige controle over de server, datalekken of het compromitteren van de gehele WordPress-installatie. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de aanvalsvector relatief eenvoudig te exploiteren is.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-06-27. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de eenvoud van de exploitatievector maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. Controleer de CISA KEV catalogus voor updates.
WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/image-shadow/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1disclosure
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Image Shadow plugin naar versie 1.1.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die pad traversal pogingen detecteert en blokkeert. Controleer ook de WordPress configuratie om te zorgen dat bestandsrechten correct zijn ingesteld en dat onnodige bestanden niet toegankelijk zijn. Na de upgrade, controleer de server logs op verdachte activiteiten die wijzen op pogingen tot exploitatie.
Actualice el plugin Image Shadow a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24765 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Image Shadow versions 0.0.0–1.1.0.
Yes, if you are using Image Shadow versions 0.0.0 through 1.1.0, you are affected by this vulnerability.
Upgrade the Image Shadow plugin to version 1.1.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
As of 2025-06-27, no active exploitation has been confirmed, but monitoring is recommended.
Refer to the RobMarsh project's official website or WordPress plugin repository for the latest advisory and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.