Platform
wordpress
Component
wp-pipes
Opgelost in
1.4.3
CVE-2025-48267 beschrijft een 'Path Traversal' kwetsbaarheid in de WP Pipes plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van WP Pipes van n/a tot en met 1.4.2. Een patch is beschikbaar in versie 1.4.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te lezen. Dit omvat potentieel configuratiebestanden, broncode, of andere gevoelige data die op de webserver zijn opgeslagen. Afhankelijk van de bestanden die benaderd kunnen worden, kan dit leiden tot het verkrijgen van inloggegevens, het compromitteren van de WordPress-installatie, of zelfs het uitvoeren van willekeurige code op de server. De impact is aanzienlijk, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en de potentiële schade groot kan zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 2025-06-09.
WordPress websites using the WP Pipes plugin are at risk. Specifically, sites running older versions of WP Pipes (prior to 1.4.3) are vulnerable. Shared hosting environments where users have limited control over plugin updates are particularly susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.10% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP Pipes plugin naar versie 1.4.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de toegang tot de WordPress-installatie via een Web Application Firewall (WAF) of reverse proxy. Configureer de WAF om requests met path traversal patronen (zoals '../') te blokkeren. Controleer ook de WordPress-bestanden op ongewenste wijzigingen na een mogelijke exploitatie.
Actualice el plugin WP Pipes a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48267 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server through path manipulation. It affects versions before 1.4.3.
You are affected if your WordPress site uses WP Pipes version 1.4.2 or earlier. Check your plugin versions and upgrade immediately.
Upgrade WP Pipes to version 1.4.3 or later. If immediate upgrade is not possible, implement WAF rules to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests it may be targeted. Monitor security advisories for updates.
Check the ThimPress website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.