Platform
wordpress
Component
lbg-audio11-html5-shoutcast_history
Opgelost in
2.7
CVE-2025-31635 beschrijft een 'Path Traversal' kwetsbaarheid in LambertGroup CLEVER, een WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om via manipulatie van paden toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft CLEVER versies van 0.0.0 tot en met 2.6. Een update naar versie 2.7 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop CLEVER is geïnstalleerd. Dit kan configuratiebestanden, broncode, database credentials of andere vertrouwelijke informatie omvatten. De impact is aanzienlijk, omdat een aanvaller de server verder kan compromitteren door deze bestanden te analyseren of te wijzigen. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot data-exfiltratie, code-uitvoering of zelfs volledige controle over de server. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de beperkingen van paden niet correct worden afgedwongen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-06-09. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de publicatie van de CVE maakt het potentieel voor exploitatie aanzienlijk. De CVSS score van 7.5 (HIGH) duidt op een significant risico. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
Websites and applications utilizing CLEVER versions 0.0.0 through 2.6 are at risk. This includes organizations using CLEVER for audio streaming or related functionalities. Shared hosting environments where CLEVER is installed are particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/clever/*• generic web:
curl -I 'http://your-clever-site/../../../../etc/passwd' # Check for file accessdisclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van CLEVER naar versie 2.7 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer de WordPress plugin directory op eventuele updates of patches. Na de upgrade, controleer de server logs op verdachte activiteiten die verband houden met path traversal pogingen.
Actualice el plugin CLEVER a la versión 2.7 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización aborda la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-31635 is a HIGH severity vulnerability in CLEVER versions 0.0.0 through 2.6 that allows attackers to read arbitrary files via a path traversal flaw, potentially exposing sensitive data.
If you are using CLEVER versions 0.0.0 through 2.6, you are potentially affected by this vulnerability. Upgrade to version 2.7 or later to mitigate the risk.
The recommended fix is to upgrade CLEVER to version 2.7 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access and using a WAF.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature suggests it could be targeted. Continuous monitoring is advised.
Refer to the official LambertGroup CLEVER advisory for detailed information and updates regarding CVE-2025-31635.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.