Platform
wordpress
Component
movie-booking
Opgelost in
1.1.6
CVE-2025-67963 beschrijft een kwetsbaarheid van het type Path Traversal in de Ovatheme Movie Booking WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om via padmanipulatie willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Ovatheme Movie Booking van 0.0.0 tot en met 1.1.5. Een patch is beschikbaar in versie 1.1.6.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle exploitatie kan een aanvaller toegang geven tot gevoelige bestanden op de webserver, zoals configuratiebestanden, database credentials of zelfs broncode. Dit kan leiden tot data-exfiltratie, wijziging van website-inhoud, of zelfs de mogelijkheid om code uit te voeren op de server. Afhankelijk van de configuratie van de server en de rechten van de webgebruiker, kan de impact zich verder uitstrekken naar andere systemen binnen het netwerk. Het is vergelijkbaar met eerdere Path Traversal kwetsbaarheden waarbij gevoelige informatie werd blootgesteld.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-67963. Er zijn geen publieke Proof-of-Concept (POC) exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en gepubliceerd op 2026-01-22. De EPSS score is nog niet bekend, maar gezien de impact en de relatieve eenvoud van exploitatie, is een medium tot hoog risico waarschijnlijk.
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-bookingdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-67963 is het upgraden van de Ovatheme Movie Booking plugin naar versie 1.1.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de plugin-directory via een Web Application Firewall (WAF) of reverse proxy. Configureer de WAF om verdachte padmanipulatie-pogingen te blokkeren. Controleer ook de permissies van de webgebruiker om de impact van een succesvolle exploitatie te beperken. Na de upgrade, controleer de serverlogs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen met een padmanipulatie payload.
Update naar versie 1.1.6, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-67963 is a vulnerability in Ovatheme Movie Booking allowing attackers to read arbitrary files on the server. It has a HIGH severity rating (CVSS: 8.6) and affects versions 0.0.0 through 1.1.5.
You are affected if your WordPress site uses the Ovatheme Movie Booking plugin and is running version 0.0.0 through 1.1.5. Check your plugin versions immediately.
Upgrade the Ovatheme Movie Booking plugin to version 1.1.6 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-67963, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Ovatheme Movie Booking plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-67963.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.