Plataforma
wordpress
Componente
invelity-products-feeds
Corregido en
1.2.7
El plugin Invelity Product Feeds para WordPress presenta una vulnerabilidad de acceso a archivos arbitrarios. Esta falla permite a un atacante autenticado, con privilegios de administrador, eliminar archivos en el servidor. La vulnerabilidad afecta a las versiones 1.0.0 hasta la 1.2.6. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger sus sistemas.
La vulnerabilidad de acceso a archivos arbitrarios en Invelity Product Feeds permite a un atacante autenticado con privilegios de administrador eliminar archivos críticos del servidor. Esto podría resultar en la pérdida de datos, la corrupción del sitio web o incluso la toma de control completa del servidor. Un atacante podría eliminar archivos de configuración, archivos de base de datos o incluso archivos del sistema operativo, comprometiendo la integridad y la confidencialidad de la información. La falta de validación y sanitización en la función 'createManageFeedPage' facilita la explotación de esta vulnerabilidad.
La vulnerabilidad CVE-2025-14037 fue publicada el 2026-03-21. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la vulnerabilidad (acceso a archivos arbitrarios) la convierte en un objetivo potencial para atacantes, especialmente si se combinan con otras vulnerabilidades en el sistema WordPress.
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14037 es actualizar el plugin Invelity Product Feeds a la última versión disponible, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, considere implementar medidas de seguridad adicionales, como restringir el acceso a la función 'createManageFeedPage' mediante reglas de firewall o WAF. Revise los permisos de usuario y asegúrese de que solo los administradores autorizados tengan acceso a la administración del plugin. Verifique que el plugin esté actualizado después de la implementación de las medidas de mitigación.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14037 is a HIGH severity vulnerability allowing authenticated administrators to delete arbitrary files on a WordPress server through the Invelity Product Feeds plugin versions 1.0.0–1.2.6 due to insufficient input validation.
You are affected if your WordPress website uses the Invelity Product Feeds plugin and is running version 1.0.0 through 1.2.6. Check your plugin version immediately.
Upgrade the Invelity Product Feeds plugin to the latest available version as soon as a patch is released. Until then, implement WAF rules to block path traversal attempts.
While there are no confirmed reports of active exploitation at this time, the vulnerability's nature suggests it is likely to be targeted. Monitor security advisories and threat intelligence feeds.
Check the Invelity website and WordPress plugin repository for updates and security advisories related to CVE-2025-14037. Monitor WordPress security news sources for announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.