Platform
wordpress
Component
newsletters-lite
Opgelost in
4.9.10
CVE-2025-4857 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Newsletters plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met administratorrechten in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft WordPress-installaties met de Newsletters plugin in versies van 0.0.0 tot en met 4.9.9.9. Een patch is beschikbaar in de nieuwste versie van de plugin.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. Een aanvaller kan PHP-code injecteren en uitvoeren, waardoor ze toegang kunnen krijgen tot gevoelige data, configuratiebestanden kunnen wijzigen, of zelfs de hele website kunnen compromitteren. Dit kan resulteren in dataverlies, reputatieschade en verstoring van de dienstverlening. De impact is vergelijkbaar met andere LFI-kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om code uit te voeren in de context van de webserver.
Deze kwetsbaarheid is openbaar bekend en er is een risico op exploitatie. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de LFI-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
Exploit Status
EPSS
0.21% (43% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Newsletters plugin naar de nieuwste versie, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die toegang heeft tot de plugin. Controleer ook de WordPress-configuratie op onnodige permissies. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het includeren van willekeurige bestanden detecteren en blokkeren. Monitor de server logs op verdachte activiteiten, zoals ongebruikelijke bestandstoegangspogingen.
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-4857 is a Local File Inclusion vulnerability in the WordPress Newsletters plugin, allowing authenticated attackers to execute arbitrary PHP code. It affects versions 0.0.0–4.9.9.9 and has a HIGH severity rating.
If you are using the WordPress Newsletters plugin in versions 0.0.0 through 4.9.9.9, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WordPress Newsletters plugin to a patched version as soon as it is available. Until then, implement WAF rules and restrict file upload permissions as temporary mitigations.
While active exploitation has not been confirmed, the vulnerability is considered high severity and public PoC code is anticipated, increasing the likelihood of exploitation.
Refer to the WordPress security announcements page and the Newsletters plugin's official website for updates and advisories related to CVE-2025-4857.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.