Platform
wordpress
Component
wplms_plugin
Opgelost in
1.9.10
CVE-2025-69097 beschrijft een 'Path Traversal' kwetsbaarheid in de WPLMS plugin, ontwikkeld door VibeThemes. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot bestanden op de server. De kwetsbaarheid treft versies van WPLMS van 0.0.0 tot en met 1.9.9.5.4. Een patch is beschikbaar in de nieuwste versie van de plugin.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver waarop de WordPress site draait. Dit omvat potentieel configuratiebestanden, database credentials, broncode van de website en andere kritieke data. Een aanvaller kan deze informatie misbruiken om de website te compromitteren, gevoelige informatie te stelen of de server te gebruiken voor verdere aanvallen. De impact is aanzienlijk, aangezien een path traversal vaak een directe route biedt naar kritieke systeembestanden.
Op dit moment zijn er geen openbare exploits bekend, maar de path traversal kwetsbaarheid is een veelvoorkomend type en kan relatief eenvoudig te exploiteren zijn. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept. Er is geen bevestigde actieve exploitatie gemeld op dit moment.
Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wplms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WPLMS plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de webserver gebruiker of het implementeren van een Web Application Firewall (WAF) die path traversal pogingen detecteert en blokkeert. Controleer ook de WordPress configuratie op onnodige directory listing functionaliteit. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een URL die de path traversal kwetsbaarheid zou kunnen uitbuiten.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-69097 is a HIGH severity vulnerability in WPLMS allowing attackers to read arbitrary files on the server. It affects versions 0.0.0 through 1.9.9.5.4.
Yes, if you are using WPLMS version 0.0.0 through 1.9.9.5.4, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade WPLMS to a patched version. Until a patch is available, implement temporary workarounds like restricting file access and using a WAF.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it's crucial to apply the patch promptly.
Refer to the VibeThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-69097.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.