Platform
wordpress
Component
wp-businessdirectory
Opgelost in
3.1.3
CVE-2025-32629 beschrijft een 'Path Traversal' kwetsbaarheid in de WP-BusinessDirectory plugin van CMSJunkie voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om, door middel van padmanipulatie, toegang te krijgen tot willekeurige bestanden op de server. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 3.1.2. Een fix is beschikbaar in versie 3.1.3.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om gevoelige informatie te onthullen, zoals configuratiebestanden, broncode of database credentials. Door de mogelijkheid om willekeurige bestanden te lezen, kan een aanvaller de integriteit van de WordPress-installatie in gevaar brengen en mogelijk zelfs volledige controle over de server verkrijgen. De impact is aanzienlijk, vooral op websites die gevoelige data opslaan of verwerken. Een succesvolle exploitatie kan leiden tot data-exfiltratie, website defacement of zelfs een volledige compromittering van de server.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2025-04-11. Controleer de NVD en CISA websites voor updates.
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
Exploit Status
EPSS
0.38% (59% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP-BusinessDirectory plugin naar versie 3.1.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de plugin-directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken met verdachte padmanipulatie patronen te blokkeren. Controleer ook de WordPress-configuratie op onnodige permissies en beperk de toegang tot gevoelige bestanden. Na de upgrade, controleer de server logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het proberen van een pad traversal aanval.
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-32629 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server running the WP-BusinessDirectory plugin. It impacts versions 0.0.0–3.1.2.
You are affected if your WordPress site uses the WP-BusinessDirectory plugin and is running version 3.1.2 or earlier. Check your plugin versions immediately.
Upgrade the WP-BusinessDirectory plugin to version 3.1.3 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the CMSJunkie website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.