Platform
wordpress
Component
download-counter
Opgelost in
1.4.1
CVE-2025-60242 beschrijft een 'Path Traversal' kwetsbaarheid in de Anatoly Download Counter WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de plugin tussen 0.0.0 en 1.4, inclusief. Een patch is beschikbaar in versie 1.4.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te lezen. Dit kan gevoelige informatie onthullen, zoals configuratiebestanden, database credentials of zelfs broncode. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de controle over de server overnemen of malware installeren. De impact is aanzienlijk, aangezien de kwetsbaarheid een direct pad biedt naar kritieke systeembestanden.
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2025-11-06. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de path traversal aard maakt het een aantrekkelijk doelwit voor automatisering en grootschalige scans. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Anatoly Download Counter plugin naar versie 1.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken. Controleer ook de WordPress configuratie op onnodige directory listing functionaliteit. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via de plugin interface; dit zou moeten mislukken.
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-60242 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through path traversal in the Anatoly Download Counter plugin versions 0.0.0–1.4.
You are affected if your WordPress site uses the Anatoly Download Counter plugin and is running a version between 0.0.0 and 1.4, inclusive.
Upgrade the Anatoly Download Counter plugin to version 1.4.1 or later. Consider WAF rules to block path traversal attempts as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-60242, but it's crucial to apply the patch promptly.
Refer to the Anatoly Download Counter plugin's official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.