Platform
wordpress
Component
instawp-connect
Opgelost in
0.1.1
CVE-2025-2636 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de InstaWP Connect WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van InstaWP Connect tussen 0.0.0 en 0.1.0.85. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. Een aanvaller kan PHP-code injecteren en uitvoeren, waardoor gevoelige data kan worden gestolen, de website kan worden gemanipuleerd of de server kan worden gebruikt voor kwaadaardige doeleinden. De impact is vergelijkbaar met andere LFI kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om bestanden te includeren die toegang verlenen tot kritieke systeembestanden of configuratiebestanden. Dit kan resulteren in een compromittering van de gehele WordPress installatie en de onderliggende server.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke CVE. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en gepubliceerd op 2025-04-11. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is eenvoudig te exploiteren, wat het risico verhoogt.
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
Exploit Status
EPSS
10.16% (93% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de InstaWP Connect plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de 'instawp-database-manager' parameter via een web application firewall (WAF) of door de parameter te verwijderen indien deze niet essentieel is. Controleer ook de permissies van de WordPress bestanden en directories om te zorgen dat ze niet beschrijfbaar zijn door de webserver gebruiker. Na de upgrade, controleer de WordPress logs op verdachte activiteiten.
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2636 is a Local File Inclusion vulnerability in the InstaWP Connect WordPress plugin, allowing attackers to execute arbitrary files. It has a CVSS score of 8.1 (HIGH) and affects versions 0.0.0–0.1.0.85.
You are affected if your WordPress site uses the InstaWP Connect plugin in versions 0.0.0 through 0.1.0.85. Check your plugin versions immediately.
Upgrade to the latest version of the InstaWP Connect plugin as soon as a patch is released. Until then, implement WAF rules or restrict file upload permissions.
There is currently no confirmed active exploitation, but the vulnerability is considered high severity and PoCs are likely to emerge.
Check the official InstaWP Connect website and WordPress plugin repository for updates and security advisories related to CVE-2025-2636.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.