Platform
wordpress
Component
images-optimizer
Opgelost in
3.3.1
CVE-2025-25163 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de WordPress plugin A/B Image Optimizer. Deze kwetsbaarheid stelt aanvallers in staat om via path traversal willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 3.3. Een fix is beschikbaar in versie 3.3.1.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om bestanden buiten de toegestane directory te benaderen. Dit kan leiden tot het downloaden van gevoelige configuratiebestanden, broncode, of zelfs database-dumps. In sommige gevallen kan een aanvaller deze bestanden gebruiken om verdere toegang te krijgen tot het systeem, bijvoorbeeld door een configuratiebestand te wijzigen om een backdoor te creëren. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid en de privileges van de gebruiker die de plugin uitvoert.
Deze kwetsbaarheid is publiekelijk bekend gemaakt op 2025-02-07. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar path traversal kwetsbaarheden worden vaak misbruikt. Het is aan te raden om de plugin en de server te monitoren op verdachte activiteit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op dit moment).
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
Exploit Status
EPSS
25.69% (96% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de A/B Image Optimizer plugin naar versie 3.3.1 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie (indien beschikbaar) of het tijdelijk uitschakelen van de plugin. Als een upgrade niet direct mogelijk is, kan het implementeren van Web Application Firewall (WAF) regels die path traversal pogingen detecteren en blokkeren een tijdelijke bescherming bieden. Controleer ook de configuratie van de webserver om te zorgen voor correcte directory-permissies en beperkingen.
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-25163 is a High severity vulnerability in the A/B Image Optimizer WordPress plugin that allows attackers to read arbitrary files on the server through path traversal.
You are affected if you are using A/B Image Optimizer versions 0.0.0 through 3.3. Upgrade to 3.3.1 or later to mitigate the risk.
Upgrade the A/B Image Optimizer plugin to version 3.3.1 or later. If immediate upgrade is not possible, restrict file upload access.
As of now, there are no confirmed reports of active exploitation, but the High severity score warrants immediate action.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.