Platform
wordpress
Component
anona
Opgelost in
8.0.1
CVE-2025-68902 beschrijft een 'Path Traversal' kwetsbaarheid in de Anona WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Anona van 0.0.0 tot en met 8.0. Een patch is beschikbaar en wordt sterk aangeraden.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om gevoelige bestanden, zoals configuratiebestanden, database credentials of broncode, te lezen. Dit kan leiden tot dataverlies, compromittering van de server en verdere toegang tot het netwerk. Afhankelijk van de bestanden die benaderd kunnen worden, kan de aanvaller ook code uitvoeren op de server, waardoor de volledige website en de daaraan verbonden systemen in gevaar komen. Het is vergelijkbaar met eerdere path traversal kwetsbaarheden waarbij aanvallers toegang kregen tot kritieke systeembestanden.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een lage waarschijnlijkheid van exploitatie. Er zijn geen publieke proof-of-concept exploits beschikbaar. De publicatie datum is 2026-01-22.
WordPress sites using the Anona plugin, particularly those with default configurations or shared hosting environments, are at increased risk. Sites that haven't implemented robust file access controls or regularly scan for vulnerabilities are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive --all | grep anonadisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Anona WordPress plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van restricties op de webserver zijn om toegang tot gevoelige bestanden te blokkeren. Dit kan worden bereikt door de .htaccess file aan te passen of door de webserverconfiguratie te wijzigen. Het is ook aan te raden om een Web Application Firewall (WAF) te gebruiken die path traversal aanvallen kan detecteren en blokkeren. Controleer de WordPress plugin directory op updates en beveiligingsadviezen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68902 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read arbitrary files on the server through path traversal. It affects versions 0.0.0 through 8.0.
If you are using the Anona WordPress plugin in versions 0.0.0 through 8.0, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Anona plugin. Until a patch is released, consider temporary workarounds like WAF rules and restricting file access permissions.
As of the publication date, there is no confirmed active exploitation of CVE-2025-68902, but the vulnerability's nature suggests potential for exploitation.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates related to CVE-2025-68902.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.