Platform
wordpress
Component
pt-luxa-addons
Opgelost in
1.2.3
CVE-2025-60217 beschrijft een 'Path Traversal' kwetsbaarheid in de WordPress plugin PT Luxa Addons. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van PT Luxa Addons van 0.0.0 tot en met 1.2.2. Een fix is beschikbaar in versie 1.2.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te lezen. Dit omvat potentieel configuratiebestanden, broncode, of andere gevoelige data die op de server zijn opgeslagen. Afhankelijk van de bestanden die benaderd kunnen worden, kan dit leiden tot het verkrijgen van inloggegevens, het compromitteren van de WordPress installatie, of zelfs het uitvoeren van willekeurige code. De impact is aanzienlijk, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren is en de potentiële schade groot kan zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 2025-10-22. Er is geen vermelding op CISA KEV op dit moment.
Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*• generic web:
curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'pt-luxa-addons'• wordpress / composer / npm:
wp plugin update pt-luxa-addonsdisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de PT Luxa Addons plugin naar versie 1.2.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de rechten van de webserver gebruiker om de schade te beperken in geval van een exploitatie. Controleer ook de WordPress installatie op verdachte bestanden of wijzigingen. Implementeer een Web Application Firewall (WAF) met regels om pad traversal pogingen te detecteren en te blokkeren. Na de upgrade, controleer de server logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen.
Actualice el plugin PT Luxa Addons a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-60217 is a HIGH severity vulnerability in the PT Luxa Addons WordPress plugin allowing attackers to read arbitrary files via path traversal. Versions 0.0.0–1.2.2 are affected.
You are affected if your WordPress site uses the PT Luxa Addons plugin and is running version 0.0.0 through 1.2.2. Check your plugin versions immediately.
Upgrade the PT Luxa Addons plugin to version 1.2.3 or later. If immediate upgrade isn't possible, implement WAF rules to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the ypromo website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-60217.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.