Plataforma
wordpress
Componente
wp-event-solution
Corregido en
4.0.25
La vulnerabilidad CVE-2025-1770 afecta al plugin Eventin para WordPress, específicamente en versiones desde 0.0.0 hasta 4.0.24. Se trata de una Inclusión de Archivos Locales (LFI) que permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos arbitrarios en el servidor. Esta falla puede resultar en la ejecución de código malicioso, la exposición de datos sensibles o el control del servidor.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado al servidor web. Al poder incluir archivos arbitrarios, el atacante puede ejecutar código PHP malicioso, lo que le permitiría tomar el control total de la aplicación WordPress y, potencialmente, del servidor subyacente. Esto incluye la posibilidad de leer archivos de configuración, modificar la base de datos, instalar puertas traseras o incluso ejecutar comandos del sistema operativo. La gravedad de esta vulnerabilidad se agrava por el hecho de que los atacantes solo necesitan privilegios de Contribuidor, que son relativamente fáciles de obtener en muchas instalaciones de WordPress.
Esta vulnerabilidad ha sido publicada públicamente el 20 de marzo de 2025. No se ha confirmado explotación activa en campañas conocidas, pero la naturaleza de la LFI la convierte en un objetivo atractivo para atacantes. La baja dificultad de explotación y la amplia base de usuarios de WordPress aumentan el riesgo de que esta vulnerabilidad sea explotada en el futuro. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also at increased risk, as are websites with legacy Eventin plugin versions that are no longer actively maintained.
• wordpress / composer / npm:
grep -r 'style=../../' /var/www/html/wp-content/plugins/eventin/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/eventin/?style=../../../../etc/passwd' # Check for file disclosurePublic disclosure
Estado del Exploit
EPSS
0.55% (68% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Eventin a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al parámetro 'style' en la URL. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten incluir archivos fuera del directorio esperado también puede ayudar. Además, se recomienda revisar los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de inclusión de archivos sospechosos.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales se ha solucionado en versiones posteriores a la 4.0.24. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1770 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 0.0.0 through 4.0.24 and have users with Contributor-level access or higher.
Upgrade the Eventin plugin to a patched version as soon as it's available. Until then, implement WAF rules or restrict file upload permissions.
While no active exploitation has been confirmed, the high CVSS score and ease of exploitation suggest a high likelihood of exploitation if unpatched.
Check the Eventin plugin developer's website and WordPress plugin repository for updates and advisories related to CVE-2025-1770.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.