Platform
wordpress
Component
wp-pipes
Opgelost in
1.4.4
CVE-2025-60227 beschrijft een Arbitrary File Access kwetsbaarheid in de WP Pipes WordPress plugin. Deze kwetsbaarheid, veroorzaakt door een onjuiste beperking van padnamen, stelt aanvallers in staat om willekeurige bestanden op de server te benaderen. De kwetsbaarheid treft versies van WP Pipes van 0.0.0 tot en met 1.4.3. Een beveiligingsupdate is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2025-60227 kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver waarop de WordPress-site draait. Dit omvat potentieel configuratiebestanden, databasebackups, broncode en andere kritieke gegevens. Een aanvaller kan deze informatie gebruiken om verdere schade aan te richten, zoals het compromitteren van de hele WordPress-installatie, het stelen van gebruikersgegevens of het uitvoeren van kwaadaardige code. De impact is aanzienlijk, aangezien de kwetsbaarheid path traversal mogelijk maakt, wat een veelgebruikte aanvalstechniek is.
Op dit moment is er geen publieke exploitatie van CVE-2025-60227 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-10-22. De EPSS score is nog niet bekend. Er zijn geen bekende campagnes die deze kwetsbaarheid actief exploiteren. Het is echter belangrijk om deze kwetsbaarheid serieus te nemen, aangezien path traversal een veelvoorkomende aanvalstechniek is en de impact aanzienlijk kan zijn.
WordPress websites utilizing the WP Pipes plugin, particularly those running older versions (0.0.0 - 1.4.3), are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates or implement workarounds.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/wp-pipes.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-60227 is het upgraden van de WP Pipes plugin naar een beveiligde versie. Controleer de WordPress plugin directory of de website van ThimPress voor de meest recente versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) om path traversal-aanvallen te blokkeren. Controleer de WordPress-logbestanden op verdachte activiteiten die wijzen op pogingen tot path traversal. Na de upgrade, controleer de serverlogbestanden om te bevestigen dat er geen verdachte activiteiten meer plaatsvinden.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-60227 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server. It affects versions 0.0.0 through 1.4.3.
You are affected if your WordPress site uses WP Pipes version 0.0.0 to 1.4.3. Check your plugin versions immediately.
Upgrade WP Pipes to the latest available version as soon as a patch is released by the vendor. Until then, consider WAF rules or restricting file access permissions.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Check the ThimPress website and WordPress plugin repository for updates and advisories related to CVE-2025-60227.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.