Platform
wordpress
Component
aviation-weather-from-noaa
Opgelost in
0.7.3
CVE-2025-28980 beschrijft een 'Path Traversal' kwetsbaarheid in de Aviation Weather from NOAA WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om, door middel van manipulatie van paden, toegang te krijgen tot willekeurige bestanden op de server. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 0.7.2. Een fix is beschikbaar in versie 0.7.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop de Aviation Weather from NOAA plugin is geïnstalleerd. Dit kan configuratiebestanden, broncode, database-dumps of andere kritieke gegevens omvatten. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de controle over de website overnemen, gevoelige informatie stelen of de server beschadigen. De impact is aanzienlijk, aangezien de kwetsbaarheid het mogelijk maakt om de beveiliging van de hele server in gevaar te brengen.
Op dit moment (2025-07-04) is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-28980. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en is nog niet toegevoegd aan de CISA KEV catalogus. De kans op exploitatie is momenteel laag, maar het is belangrijk om de plugin zo snel mogelijk te patchen.
WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/aviation-weather-from-noaa/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Aviation Weather from NOAA plugin naar versie 0.7.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels die pad traversal pogingen detecteren en blokkeren. Controleer ook de WordPress configuratie op onnodige bestandsrechten die de impact van de kwetsbaarheid kunnen vergroten. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een pad traversal poging.
Actualice el plugin Aviation Weather from NOAA a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivo, evitando el acceso no autorizado a archivos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-28980 is a HIGH severity vulnerability in Aviation Weather from NOAA allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 0.7.2.
If you are using Aviation Weather from NOAA version 0.0.0 to 0.7.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Aviation Weather from NOAA plugin to version 0.7.3 or later. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the WordPress plugin repository and the developer's website for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.