Platform
wordpress
Component
dyapress
Opgelost in
18.0.3
CVE-2025-30582 beschrijft een 'Path Traversal' kwetsbaarheid in DyaPress ERP/CRM, waardoor een aanvaller mogelijk lokale bestanden op de server kan inlezen. Deze kwetsbaarheid heeft een hoge impact, omdat het de integriteit van de server kan compromitteren. De kwetsbaarheid treft versies van DyaPress ERP/CRM van 0.0.0 tot en met 18.0.2.0. Een fix is beschikbaar in versie 18.0.3.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te lezen, waaronder configuratiebestanden, broncode en gevoelige data. Dit kan leiden tot verdere compromittering van het systeem, zoals het verkrijgen van inloggegevens of het uitvoeren van schadelijke code. De blast radius is afhankelijk van de privileges van de webserver-gebruiker en de gevoeligheid van de bestanden die toegankelijk zijn. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als bij andere Path Traversal aanvallen, waarbij gevoelige informatie wordt blootgesteld.
CVE-2025-30582 is openbaar bekend gemaakt op 2025-04-10. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes. De kwetsbaarheid is opgenomen in de CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.
• wordpress / composer / npm:
grep -r "../" /var/www/dyapress/• generic web:
curl -I http://your-dyapress-server.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --all | grep dyapressdisclosure
Exploit Status
EPSS
0.26% (49% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van DyaPress ERP/CRM naar versie 18.0.3 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de kwetsbare directory via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met path traversal patronen (zoals '../') te blokkeren. Controleer ook de configuratie van de webserver om ervoor te zorgen dat de directory waar DyaPress ERP/CRM is geïnstalleerd, niet toegankelijk is voor het publiek. Na de upgrade, controleer de server logs op verdachte activiteiten.
Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30582 is a Path Traversal vulnerability allowing attackers to include arbitrary files in DyaPress ERP/CRM, potentially leading to sensitive data exposure or code execution. It affects versions 0.0.0–18.0.2.0.
If you are using DyaPress ERP/CRM versions 0.0.0 through 18.0.2.0, you are potentially affected by this vulnerability. Upgrade to 18.0.3 or later to mitigate the risk.
The recommended fix is to upgrade DyaPress ERP/CRM to version 18.0.3 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no public exploits are currently known, the vulnerability's nature makes it easily exploitable, and active exploitation is possible.
Refer to the official DyaPress ERP/CRM security advisories on their website or through their support channels for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.