Platform
wordpress
Component
seofy-core
Opgelost in
1.6.9
CVE-2025-39473 beschrijft een 'Path Traversal' kwetsbaarheid in WebGeniusLab Seofy Core. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, waardoor een aanvaller potentieel gevoelige lokale bestanden kan benaderen. De kwetsbaarheid treft versies van Seofy Core tussen 0.0.0 en 1.6.8 inclusief. Een update naar versie 1.6.11 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om willekeurige bestanden op de server te lezen, waaronder configuratiebestanden, broncode en andere gevoelige gegevens. Dit kan leiden tot een compromittering van de gehele WordPress-installatie en de daaraan gekoppelde data. De impact is aanzienlijk, aangezien de aanvaller mogelijk toegang kan krijgen tot database credentials, API keys en andere kritieke informatie. De mogelijkheid om lokale bestanden te lezen kan ook gebruikt worden om verdere aanvallen uit te voeren, zoals het uitvoeren van code of het verkrijgen van toegang tot andere systemen op het netwerk.
Op dit moment is er geen publieke exploitatie van CVE-2025-39473 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-06-09. De CVSS score van 8.1 (HIGH) duidt op een potentieel significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*• generic web:
curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Seofy Core naar versie 1.6.11 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Seofy Core directory via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met path traversal patronen (zoals '../') te blokkeren. Controleer ook de permissies van de Seofy Core directory en bestanden om te zorgen dat alleen de webserver-gebruiker toegang heeft. Na de upgrade, controleer de server logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen.
Update naar versie 1.6.11, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-39473 is a Path Traversal vulnerability in Seofy Core allowing PHP Local File Inclusion, potentially exposing sensitive data or enabling code execution.
You are affected if your WordPress site uses Seofy Core versions 0.0.0 through 1.6.8. Check your plugin versions and upgrade immediately.
Upgrade Seofy Core to version 1.6.11 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting file access and using a WAF.
As of the last update, there are no known public exploits or active campaigns targeting CVE-2025-39473, but vigilance is still advised.
Refer to the official Seofy Core project website or WordPress plugin repository for the latest advisory and security updates related to CVE-2025-39473.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.