Platform
wordpress
Component
lbg-cleverbakery
Opgelost in
2.5.4
CVE-2025-31070 beschrijft een 'Path Traversal' kwetsbaarheid in de HTML5 Radio Player - WPBakery Page Builder Addon. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de addon van 0.0.0 tot en met 2.5. Een update naar versie 2.5.4 lost dit probleem op.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te lezen. Dit omvat potentieel configuratiebestanden, broncode of andere gevoelige informatie die op de webserver is opgeslagen. Afhankelijk van de bestanden die benaderd kunnen worden, kan dit leiden tot data-exfiltratie, het verkrijgen van credentials of zelfs de mogelijkheid om schadelijke code uit te voeren. De impact is aanzienlijk, omdat een aanvaller de controle over de website kan overnemen of gevoelige data kan stelen. Dit is vergelijkbaar met andere path traversal kwetsbaarheden die in het verleden zijn aangetroffen, waarbij de toegang tot kritieke systeembestanden werd verkregen.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2025-07-16. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de 'Path Traversal' techniek is algemeen bekend en wordt vaak misbruikt. Het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden geëxploiteerd, vooral als er geen snelle mitigatie wordt toegepast. De ernst is beoordeeld als 'High' op basis van de CVSS score.
WordPress websites utilizing the HTML5 Radio Player - WPBakery Page Builder Addon, particularly those running older versions (0.0.0–2.5), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/lbg-cleverbakery/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/lbg-cleverbakery/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de HTML5 Radio Player - WPBakery Page Builder Addon naar versie 2.5.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegangsrechten van de webservergebruiker om de potentiële schade te minimaliseren. Controleer ook de configuratie van de webserver om te zorgen voor correcte directory-permissies en implementeer een Web Application Firewall (WAF) met regels om path traversal pogingen te detecteren en te blokkeren. Na de upgrade, controleer de serverlogs op verdachte activiteiten die wijzen op pogingen tot exploitatie.
Actualice el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, evitando el acceso no autorizado a archivos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-31070 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in the HTML5 Radio Player plugin for WordPress.
You are affected if you are using the HTML5 Radio Player - WPBakery Page Builder Addon versions 0.0.0 through 2.5. Check your plugin versions immediately.
Upgrade the HTML5 Radio Player - WPBakery Page Builder Addon to version 2.5.4 or later to resolve this vulnerability.
As of the current date, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the LambertGroup website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-31070.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.