Platform
wordpress
Component
wpevently
Opgelost in
4.2.10
CVE-2025-30895 beschrijft een Path Traversal kwetsbaarheid in de WpEvently plugin voor WordPress. Deze kwetsbaarheid stelt een aanvaller in staat om lokale PHP-bestanden te includeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie of code-uitvoering. De kwetsbaarheid treft versies van WpEvently van 0.0.0 tot en met 4.2.9. Een fix is beschikbaar in versie 4.2.10.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben voor een WordPress website. Een aanvaller kan lokale PHP-bestanden includeren, waardoor ze mogelijk toegang krijgen tot configuratiebestanden, database credentials of andere gevoelige informatie. In het ergste geval kan de aanvaller code op de server uitvoeren, waardoor de volledige website gecompromitteerd kan worden. Dit is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij een aanvaller toegang krijgt tot bestanden buiten de toegestane directory. De impact is verhoogd door het feit dat WordPress een populair CMS is en veel websites kwetsbaar kunnen zijn.
CVE-2025-30895 werd publiek bekendgemaakt op 2025-03-27. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De KEV status is momenteel onbekend. De kwetsbaarheid is van hoog niveau, wat de kans op exploitatie verhoogt.
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.20% (42% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-30895 is het updaten van de WpEvently plugin naar versie 4.2.10 of hoger. Als een directe upgrade niet mogelijk is, kan de toegang tot de plugin worden beperkt door middel van WordPress role management. Controleer ook de bestandsrechten van de WpEvently plugin directory om ervoor te zorgen dat alleen de webserver-gebruiker lees- en schrijfrechten heeft. Implementeer een Web Application Firewall (WAF) met regels om path traversal pogingen te detecteren en te blokkeren. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen.
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30895 is a Path Traversal vulnerability in the WpEvently WordPress plugin allowing attackers to include arbitrary files, potentially exposing sensitive data.
Yes, if you are using WpEvently versions 0.0.0 through 4.2.9, you are affected by this vulnerability.
Upgrade the WpEvently plugin to version 4.2.10 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade isn't possible.
Currently, there are no confirmed active exploitation campaigns, but the availability of a PoC increases the risk.
Refer to the WpEvently plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.