Platform
wordpress
Component
wp01
Opgelost in
2.6.3
CVE-2025-30567 beschrijft een 'Path Traversal' kwetsbaarheid in de WP01 WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van WP01 van 0.0.0 tot en met 2.6.2. Een patch is beschikbaar in versie 2.6.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te lezen. Dit omvat potentieel configuratiebestanden, broncode, of andere gevoelige data die op de server zijn opgeslagen. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de controle over de WordPress installatie overnemen, gevoelige informatie stelen of de website compromitteren. De impact is aanzienlijk, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en de potentiële schade groot kan zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de eenvoud van de exploitatie maakt het een aantrekkelijk doelwit voor automatische scanners en kwaadwillenden. De kwetsbaarheid is gepubliceerd op 2025-03-25.
Websites utilizing the WP01 plugin in versions 0.0.0 through 2.6.2 are at risk. This includes sites using shared hosting environments where plugin updates may not be managed automatically, and those with legacy WordPress installations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp01/*• generic web:
curl -I 'http://example.com/wp-content/plugins/wp01/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
27.19% (96% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP01 plugin naar versie 2.6.3 of hoger. Indien een directe upgrade niet mogelijk is, kan tijdelijk restricties worden opgelegd op bestandstoegang via de .htaccess file of serverconfiguratie. Controleer de WordPress installatie op ongebruikelijke bestanden of wijzigingen die duiden op een inbreuk. Implementeer een Web Application Firewall (WAF) met regels om path traversal pogingen te detecteren en te blokkeren. Monitor de server logs op verdachte activiteit.
Actualice el plugin WP01 a la versión 2.6.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30567 is a vulnerability in the WP01 WordPress plugin that allows attackers to read arbitrary files on the server via path traversal.
You are affected if you are using WP01 versions 0.0.0 through 2.6.2. Upgrade to 2.6.3 or later to resolve the issue.
Upgrade the WP01 plugin to version 2.6.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the WP01 plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.