Plataforma
wordpress
Componente
store-locator
Corregido en
3.98.11
La vulnerabilidad CVE-2025-23422 es una falla de Path Traversal descubierta en el componente Store Locator de moaluko. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la exposición de información confidencial del servidor. Afecta a las versiones de Store Locator desde 0.0.0 hasta la 3.98.10, y se ha solucionado en la versión 3.98.11.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el sistema de archivos del servidor web. Esto incluye archivos de configuración, código fuente, y potencialmente archivos que contengan credenciales de bases de datos u otros datos sensibles. La inclusión de archivos locales PHP permite la ejecución de código malicioso en el contexto del proceso web, lo que podría llevar a la toma de control del servidor. La severidad de esta vulnerabilidad es alta debido a su potencial para comprometer la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 24 de enero de 2025. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace relativamente fácil de explotar. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list --status=inactive | grep store-locator• wordpress / plugin:
wp plugin update --all• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure• generic web:
grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logsdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-23422 es actualizar Store Locator a la versión 3.98.11 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de Store Locator a través de un firewall o servidor proxy. Además, se puede considerar la implementación de reglas de Web Application Firewall (WAF) que bloqueen solicitudes que contengan caracteres de path traversal (por ejemplo, '..'). Después de la actualización, verificar que la vulnerabilidad ha sido corregida intentando acceder a un archivo fuera del directorio esperado y confirmando que se deniega el acceso.
Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23422 is a Path Traversal vulnerability in the moaluko Store Locator WordPress plugin, allowing attackers to potentially include arbitrary files and access sensitive data.
You are affected if you are using moaluko Store Locator versions 0.0.0 through 3.98.10. Upgrade to 3.98.11 or later to mitigate the risk.
The recommended fix is to upgrade the moaluko Store Locator plugin to version 3.98.11 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official moaluko Store Locator website or WordPress plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.