Новости компьютерной безопасности:

  Latest News

WordPress Plugin Vulnerability Exposes Sites to Critical File Inclusion Attacks

С сайта: Vulnerability(cybersecuritynews.com)

WordPress Plugin Vulnerability Exposes Sites to Critical File Inclusion Attacks

Author: Guru Baran

A severe security vulnerability has been discovered in the popular InstaWP Connect WordPress plugin, potentially exposing thousands of websites to remote attacks. 

Security researchers at Wordfence identified and reported the critical flaw (CVE-2025-2636), which allows unauthenticated attackers to execute arbitrary code on affected websites.

Website administrators are urged to update immediately as the vulnerability received a CVSS score of 9.8, the highest severity rating possible.

InstaWP Connect Plugin LFI Vulnerability
The vulnerability affects all versions of the InstaWP Connect plugin up to and including 0.1.0.85. 

This Local File Inclusion (LFI) flaw exists in the plugin’s database management functionality and can be exploited via the instawp-database-manager parameter. 

The technical classification is CWE-73: Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’).

InstaWP Connect is a popular WordPress staging and migration plugin that enables users to create one-click staging environments and perform site migrations. 

The plugin works as a companion tool for InstaWP, allowing users to connect existing WordPress sites to the InstaWP platform for staging, development, and testing purposes. 

Security researcher Cheng Liu discovered that the plugin fails to properly validate user input before passing it to PHP, including functions.

A malicious actor could exploit this vulnerability using a simple HTTP request structure:

cyber security news
This request could allow attackers to include and execute arbitrary files on the server without authentication. The exploit vector is particularly dangerous because:

  • It requires no user authentication
  • It can be executed remotely
  • It potentially allows for complete server compromise

The summary of the vulnerability is given below:

Risk Factors Details Affected ProductsInstaWP Connect Plugin for WordPress (versions


#Cyber_Security #Cyber_Security_News #Vulnerability #cyber_security #cyber_security_news

Оригинальная версия на сайте: WordPress Plugin Vulnerability Exposes Sites to Critical File Inclusion Attacks
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.