平台
wordpress
组件
images-optimizer
修复版本
3.3.1
CVE-2025-25163 描述了 A/B Image Optimizer 插件中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的任意文件,可能导致敏感信息泄露或恶意代码执行。此问题影响 A/B Image Optimizer 插件的 0.0.0 至 3.3 版本。已发布补丁版本 3.3.1 以解决此问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的文件路径请求,访问服务器上的任意文件。这可能包括服务器配置文件、数据库凭证、源代码或其他敏感数据。攻击者还可以利用此漏洞上传恶意文件,从而进一步控制服务器。如果服务器运行在共享主机环境中,则该漏洞可能影响同一服务器上的其他网站。此漏洞的潜在影响范围广泛,可能导致数据泄露、服务中断和系统被攻陷。
该漏洞已公开披露,存在公开的利用代码。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议密切关注安全社区的动态,及时了解最新的利用信息。
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
漏洞利用状态
EPSS
25.69% (96% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 A/B Image Optimizer 插件升级至 3.3.1 版本或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止对敏感文件的访问。此外,应审查服务器的访问控制列表 (ACL),确保只有授权用户才能访问敏感文件。可以配置 WAF 规则,阻止包含 '../' 等路径遍历尝试的请求。升级后,请验证插件是否已成功更新,并检查服务器日志中是否存在异常活动。
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-25163 描述了 A/B Image Optimizer 插件中的路径遍历漏洞,攻击者可利用此漏洞访问服务器上的任意文件。
如果您的 A/B Image Optimizer 插件版本低于 3.3.1,则您可能受到此漏洞的影响。
将 A/B Image Optimizer 插件升级至 3.3.1 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 A/B Image Optimizer 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。