Platform
wordpress
Component
houzez-property-feed
Opgelost in
2.5.4
CVE-2025-30793 beschrijft een kwetsbaarheid van het type Path Traversal in de Houzez Property Feed WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om via padmanipulatie willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de plugin van 0 tot en met 2.5.4. Een patch is beschikbaar in versie 2.5.4.
De impact van deze Path Traversal kwetsbaarheid is aanzienlijk. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver, zoals configuratiebestanden, database credentials of zelfs broncode. Dit kan vervolgens worden gebruikt voor verdere aanvallen, zoals het compromitteren van de database, het uitvoeren van willekeurige code op de server of het verkrijgen van toegang tot andere systemen binnen het netwerk. De kwetsbaarheid kan ook worden gebruikt om gevoelige informatie te stelen, zoals klantgegevens of financiële informatie. Het is vergelijkbaar met andere bekende Path Traversal kwetsbaarheden waarbij aanvallers de directory structuur kunnen omzeilen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-04-01. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke CVE. Het is echter waarschijnlijk dat aanvallers deze kwetsbaarheid zullen proberen te exploiteren, vooral op systemen die nog niet zijn geüpdatet. De KEV score is momenteel niet bekend.
WordPress sites using the Houzez Property Feed plugin, particularly those running older versions (0.0 - 2.5.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to access to files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/houzez-property-feed/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/houzez-property-feed/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.50% (66% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-30793 is het updaten van de Houzez Property Feed plugin naar versie 2.5.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels die padmanipulatie detecteren en blokkeren. Controleer ook de WordPress configuratie op onnodige directory listing functionaliteit. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory's via de plugin interface.
Actualice el plugin Houzez Property Feed a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falta de restricciones en la ruta del archivo, previniendo el acceso no autorizado a archivos sensibles en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30793 is a HIGH severity vulnerability in the Houzez Property Feed WordPress plugin allowing attackers to read sensitive files via path traversal. It affects versions 0.0 through 2.5.4.
If you are using Houzez Property Feed version 0.0 to 2.5.4 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the Houzez Property Feed plugin to version 2.5.4 or later to resolve the Arbitrary File Access vulnerability. Consider WAF rules as a temporary mitigation.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30793, but the vulnerability is publicly known and could be targeted.
Refer to the official Houzez Property Feed plugin documentation and website for the latest security advisories and updates related to CVE-2025-30793.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.