Platform
wordpress
Component
fw-food-menu
Opgelost in
6.0.1
CVE-2025-49448 beschrijft een 'Path Traversal' kwetsbaarheid in de FW Food Menu plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om via manipulatie van paden toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van FW Food Menu van n/a tot en met 6.0.0. Een patch is beschikbaar in versie 6.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit kan configuratiebestanden, broncode, database credentials of andere kritieke informatie omvatten. Afhankelijk van de inhoud van de bestanden die worden benaderd, kan dit resulteren in data-exfiltratie, code-uitvoering of zelfs volledige controle over de server. De impact is aanzienlijk, aangezien een aanvaller potentieel de gehele website kan compromitteren en gevoelige informatie kan stelen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-06-27. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de publicatie van een proof-of-concept (POC) is waarschijnlijk. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend).
WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'fw-food-menu'• wordpress / composer / npm:
wp plugin update fw-food-menudisclosure
Exploit Status
EPSS
0.10% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de FW Food Menu plugin naar versie 6.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de plugin via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verdachte padmanipulatie te detecteren en te blokkeren. Controleer ook de permissies van de bestanden en directories die door de plugin worden gebruikt om te zorgen dat ze niet onnodig leesbaar zijn voor de webserver.
Actualice el plugin FW Food Menu a la última versión disponible para corregir la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49448 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through the FW Food Menu plugin. It affects versions before 6.0.1 and requires immediate attention.
You are affected if your WordPress site uses the FW Food Menu plugin and is running a version prior to 6.0.1. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade the FW Food Menu plugin to version 6.0.1 or later. If upgrading is not possible, implement a WAF rule to block path traversal attempts and restrict file permissions.
There is currently no confirmed active exploitation of CVE-2025-49448, but the vulnerability's nature makes it a potential target for opportunistic attacks.
Refer to the official FW Food Menu website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-49448.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.