Platform
wordpress
Component
litho
Opgelost in
3.0.1
CVE-2025-49879 beschrijft een kwetsbaarheid van het type Path Traversal in de themezaa Litho WordPress theme. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Litho van 0.0.0 tot en met 3.0. Een fix is beschikbaar in versie 3.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen gevoelige bestanden, zoals configuratiebestanden of database-dumps, benaderen en downloaden. Afhankelijk van de bestanden die toegankelijk zijn, kunnen ze ook code op de server uitvoeren, waardoor ze volledige controle over de website kunnen krijgen. Dit kan leiden tot dataverlies, reputatieschade en verstoring van de dienstverlening. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij ongeautoriseerde toegang tot systeembestanden mogelijk is.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via het NVD. Er is geen informatie over actieve campagnes of KEV-listing op het moment van schrijven. Het is aannemelijk dat deze kwetsbaarheid kan worden geautomatiseerd en gebruikt in grootschalige scans.
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.10% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Litho WordPress theme naar versie 3.0.1 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die path traversal pogingen detecteert en blokkeert. Configureer de WAF om verzoeken met dubbele slashes (//) of pad traversal sequenties (../) te filteren. Controleer ook de permissies van bestanden en directories op de server om te zorgen dat ze niet leesbaar zijn voor de webserver gebruiker.
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-49879 is a HIGH severity vulnerability in the Litho WordPress theme allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.0.
You are affected if your WordPress site uses the Litho theme and is running version 3.0 or earlier. Upgrade to 3.0.1 to resolve the issue.
Upgrade the Litho WordPress theme to version 3.0.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no indication that CVE-2025-49879 is being actively exploited, but it's crucial to apply the patch promptly.
Refer to the themezaa website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-49879.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.