Platform
wordpress
Component
estatik
Opgelost in
4.3.1
CVE-2025-26905 beschrijft een Path Traversal kwetsbaarheid in de Estatik WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om lokale bestanden op de server in te lezen, wat mogelijk leidt tot blootstelling van gevoelige informatie. De kwetsbaarheid treft versies van Estatik van 0.0.0 tot en met 4.3.0. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de webserver te lezen. Dit kan gevoelige informatie onthullen, zoals configuratiebestanden, database credentials, of broncode van de applicatie. Afhankelijk van de bestanden die worden gelezen, kan de aanvaller mogelijk verdere toegang verkrijgen tot het systeem, zoals het uitvoeren van code of het wijzigen van data. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de server te verkennen en gevoelige informatie te stelen.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-26905. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is publiekelijk bekendgemaakt op 2025-02-25. Het is raadzaam om de kwetsbaarheid te monitoren en passende beveiligingsmaatregelen te implementeren.
WordPress websites utilizing the Estatik plugin, particularly those running older versions (0.0.0 - 4.3.0), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised Estatik installation on one site could potentially impact other sites on the same server. Users who have not implemented robust file upload validation or access controls are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/estatik/• wordpress / composer / npm:
wp plugin list --status=active | grep estatik• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd | head -n 1disclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Estatik WordPress plugin naar de nieuwste versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) die pogingen tot path traversal detecteert en blokkeert. Controleer ook de configuratie van de WordPress plugin en zorg ervoor dat alle bestanden en mappen correct zijn beveiligd. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de plugin.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-26905 is a Path Traversal vulnerability affecting the Estatik WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
If you are using Estatik WordPress plugin versions 0.0.0 through 4.3.0, you are potentially affected by this vulnerability.
The recommended fix is to update the Estatik plugin to a patched version. If immediate upgrade is not possible, implement temporary restrictions and WAF rules.
While no widespread exploitation has been confirmed, the vulnerability is well-understood and could be exploited, so vigilance is advised.
Refer to the Estatik plugin's official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.