Plataforma
wordpress
Componente
yoco-payment-gateway
Corregido en
3.9.1
El plugin Yoco Payments para WordPress presenta una vulnerabilidad de Recorrido de Directorio (Path Traversal) en todas las versiones hasta la 3.9.0, incluyendo. Esta falla permite a atacantes no autenticados acceder y leer archivos arbitrarios en el servidor. El impacto principal es la posible exposición de información sensible almacenada en estos archivos. La vulnerabilidad fue publicada el 7 de enero de 2026 y se ha solucionado en la versión 3.9.1.
La vulnerabilidad de Recorrido de Directorio en Yoco Payments permite a un atacante no autenticado manipular el parámetro 'file' para acceder a archivos fuera del directorio previsto. Esto significa que un atacante podría leer archivos de configuración, archivos de código fuente, o incluso archivos de bases de datos que contengan credenciales sensibles. La exposición de estos archivos podría resultar en la divulgación de información confidencial, la toma de control del servidor, o la ejecución de código malicioso. Un atacante podría, por ejemplo, leer el archivo .env si este estuviera accesible, exponiendo claves API y configuraciones sensibles. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo.
La vulnerabilidad CVE-2025-13801 fue publicada el 7 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad a la fecha, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. La ausencia de una puntuación EPSS indica una evaluación inicial de baja a media probabilidad de explotación. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
Websites using the Yoco Payments plugin, particularly those running older versions (0.0.0 - 3.9.0), are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to files on other websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'file=([^&]+)' /var/www/html/wp-content/plugins/yoco-payments/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/yoco-payments/../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13801 es actualizar el plugin Yoco Payments a la versión 3.9.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio del plugin a través de reglas de firewall o WAF. Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso directo a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos arbitrarios a través del parámetro 'file'.
Actualizar a la versión 3.9.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13801 is a vulnerability in the Yoco Payments WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the Yoco Payments plugin version 0.0.0 through 3.9.0. Upgrade to version 3.9.1 or later to mitigate the risk.
Upgrade the Yoco Payments plugin to version 3.9.1 or later. As a temporary workaround, restrict file access permissions on the server.
There are currently no reports of active exploitation campaigns, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the Yoco Payments website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.