WordPress Workreap (theme's plugin) plugin <= 3.3.5 - Willekeurige Bestandverwijdering kwetsbaarheid

De 'Path Traversal' kwetsbaarheid in Workreap stelt een aanvaller in staat om de beperkingen van een pad te omzeilen en toegang te krijgen tot bestanden buiten de beoogde directory. Dit kan leiden tot het lezen van gevoelige configuratiebestanden, broncode, of andere kritieke data. In het ergste geval kan een aanvaller deze kwetsbaarheid misbruiken om code uit te voeren op de server, waardoor de volledige website gecompromitteerd kan worden. De impact is aanzienlijk, vooral voor websites die Workreap gebruiken voor het beheren van projecten of taken, aangezien deze vaak gevoelige informatie bevatten.

WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/workreap/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversal

1. 2025-10-22Disclosure

   disclosure

1. Gereserveerd2025-09-17
2. Gepubliceerd2025-10-22
3. Gewijzigd2026-04-28
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-59566 is het upgraden van de Workreap plugin naar versie 3.3.6 of hoger. Indien een upgrade momenteel niet mogelijk is, implementeer dan tijdelijke restricties op bestandstoegang via de .htaccess file of een WordPress security plugin. Controleer alle uploads op ongebruikelijke bestandsnamen of paden. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Na de upgrade, controleer de server logs op pogingen tot bestandstoegang buiten de toegestane directory's.