CVE-2025-3923

MITJÀ (5,3)

CVSS3: 0,0

El connector Prevent Direct Access – Protect WordPress Files per a WordPress és vulnerable a l’exposició d’informació delicada en totes les versions fins a la 2.8.8 inclosa a través de ‘generate_unique_string’, a causa de la manca d’aleatorietat del nom del fitxer generat. Això permet que atacants no autenticats extreguin dades delicades, inclosos els fitxers protegits pel connector, si l’atacant pot determinar el nom del fitxer.

Sistemes Afectats

• buildwps Prevent Direct Access – Protect WordPress Files.

Remediació
No hi ha cap recurs disponible a partir del 25 d’abril del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/f648a9ca-a72f-418e-bf1b-ad4ecc27d365?source=cve
• https://plugins.svn.wordpress.org/prevent-direct-access/tags/2.8.8/includes/helper.php
• https://plugins.trac.wordpress.org/browser/prevent-direct-access/trunk/includes/helper.php#L16