Platform
wordpress
Component
anona
Opgelost in
8.0.1
CVE-2025-68901 beschrijft een 'Path Traversal' kwetsbaarheid in het Anona WordPress thema van AivahThemes. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Anona van 0.0.0 tot en met 8.0. Een patch is beschikbaar en wordt sterk aangeraden.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om toegang te krijgen tot gevoelige bestanden op de webserver, zoals configuratiebestanden, database credentials of zelfs broncode. Dit kan leiden tot dataverlies, compromittering van de server en verdere toegang tot het netwerk. Afhankelijk van de bestanden die benaderd kunnen worden, kan de aanvaller ook code uitvoeren op de server, waardoor de volledige website gecompromitteerd wordt. De kwetsbaarheid is vergelijkbaar met eerdere path traversal kwetsbaarheden die in WordPress thema's zijn aangetroffen, waarbij aanvallers de mogelijkheid kregen om gevoelige informatie te stelen.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-01-22. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Het is echter waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, aangezien path traversal kwetsbaarheden vaak een aantrekkelijk doelwit zijn voor aanvallers. De KEV score is momenteel onbekend, maar gezien de openbare bekendmaking en de potentiële impact, is een medium tot hoge waarschijnlijkheid van exploitatie te verwachten.
Websites using the Anona WordPress plugin, particularly those running older versions (0.0.0 - 8.0), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and file permissions. Administrators who haven't implemented robust security practices or regularly monitor their WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-68901 is het upgraden van het Anona WordPress thema naar een beveiligde versie. AivahThemes zal naar verwachting een patch publiceren. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die path traversal pogingen detecteert en blokkeert. Daarnaast kan het beperken van de rechten van de webserver gebruiker de impact van een succesvolle exploitatie verminderen. Controleer ook de WordPress configuratie op onnodige bestandsrechten.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68901 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read files outside the intended web root through path traversal.
If you are using Anona WordPress plugin versions 0.0.0 through 8.0, you are potentially affected by this vulnerability.
Upgrade to a patched version of the Anona plugin as soon as it becomes available. Until then, implement WAF rules and restrict file permissions.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-68901.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-68901.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.