Platform
wordpress
Component
fwdevp
Opgelost in
10.0.1
CVE-2025-28955 beschrijft een 'Path Traversal' kwetsbaarheid in de Easy Video Player WordPress & WooCommerce plugin van FWDesign. Deze kwetsbaarheid stelt een aanvaller in staat om, door middel van manipulatie van paden, toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 10.0. Een upgrade naar versie 10.0.1 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, broncode, database dumps en andere kritieke gegevens. De impact kan variëren afhankelijk van de configuratie van de server en de gevoeligheid van de bestanden die toegankelijk zijn. Een aanvaller kan deze toegang gebruiken om de website te compromitteren, gevoelige informatie te stelen of de server te gebruiken voor verdere aanvallen. Dit is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de toegang tot bestanden buiten de verwachte directory mogelijk wordt gemaakt.
Op dit moment (2025-07-16) is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-28955. Er zijn geen bekende public proof-of-concept exploits. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en is openbaar bekendgemaakt. De EPSS score is momenteel niet bekend, waardoor de waarschijnlijkheid van exploitatie niet kan worden beoordeeld.
WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-28955 is het upgraden van de Easy Video Player WordPress & WooCommerce plugin naar versie 10.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de potentiële schade te minimaliseren. Implementeer een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer de WordPress plugin directory op verdachte bestanden en wijzigingen. Na de upgrade, controleer de serverlogs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het proberen van een path traversal aanval op een niet-bestaand bestand.
Actualice el plugin Easy Video Player Wordpress & WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad del sitio antes de actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-28955 is a HIGH severity vulnerability in Easy Video Player Wordpress & WooCommerce allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–10.0.
If you are using Easy Video Player Wordpress & WooCommerce versions 0.0.0 through 10.0, you are affected by this vulnerability.
Upgrade to version 10.0.1 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the FWDesign website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.