Platform
wordpress
Component
spice-blocks
Opgelost in
2.0.8
CVE-2025-48130 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de Spice Blocks WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om via pad traversal willekeurige bestanden op de server te benaderen. De kwetsbaarheid treft Spice Blocks versies van 0.0.0 tot en met 2.0.7.4. Een fix is beschikbaar in versie 2.0.7.5.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om gevoelige informatie te onthullen, zoals configuratiebestanden, database credentials of zelfs broncode van de WordPress installatie. Afhankelijk van de bestanden die benaderd kunnen worden, kan dit leiden tot volledige controle over de server. Een succesvolle exploitatie kan resulteren in data-exfiltratie, wijziging van bestanden en uiteindelijk compromittering van de gehele WordPress omgeving. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de beperking van paden niet correct wordt afgedwongen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-06-09. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes. De KEV score is nog niet vastgesteld. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
WordPress websites utilizing the Spice Blocks plugin, particularly those running versions 0.0.0 through 2.0.7.4, are at risk. Shared hosting environments where plugin configurations are less controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/spice-blocks/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/spice-blocks/../../../../etc/passwd' # Check for file accessdisclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Spice Blocks plugin naar versie 2.0.7.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de plugin directory via een web application firewall (WAF) of proxy server. Configureer de WAF om requests met pad traversal patronen (zoals '../') te blokkeren. Controleer ook de bestandsrechten op de server om te zorgen dat de webserver geen toegang heeft tot gevoelige bestanden buiten de WordPress directory.
Update naar versie 2.0.7.5, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48130 is a HIGH severity vulnerability in Spice Blocks for WordPress that allows attackers to read arbitrary files on the server.
Yes, if you are using Spice Blocks versions 0.0.0 through 2.0.7.4, you are affected by this vulnerability.
Upgrade Spice Blocks to version 2.0.7.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but proactive patching is recommended.
Refer to the Spice Blocks official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.