Plataforma
wordpress
Componente
xlsx-viewer
Corregido en
2.1.2
Se ha identificado una vulnerabilidad de Path Traversal en XLSXviewer, una herramienta para WordPress. Esta falla permite a un atacante acceder a archivos arbitrarios en el sistema, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.1.1, y se recomienda actualizar a la versión 2.1.2 para solucionar el problema.
La vulnerabilidad de Path Traversal en XLSXviewer permite a un atacante, mediante la manipulación de la ruta de archivo, acceder a archivos sensibles ubicados fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de usuario. Un atacante podría obtener información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, especialmente en entornos donde XLSXviewer se utiliza para procesar archivos de usuarios no confiables, ya que un atacante podría subir un archivo malicioso que, al ser procesado, comprometa la seguridad del sistema. La explotación exitosa podría resultar en la divulgación de información confidencial, la modificación de datos, o incluso la toma del control del servidor.
Esta vulnerabilidad ha sido publicada el 22 de enero de 2025. No se han reportado explotaciones activas conocidas al momento de la publicación, pero la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para los atacantes. No se ha añadido a la lista KEV de CISA, y la probabilidad de explotación se considera moderada, dada la disponibilidad de la vulnerabilidad y la relativa facilidad de explotación. No se han encontrado pruebas públicas de PoC.
WordPress websites utilizing the XLSXviewer plugin, particularly those running older, unpatched versions (0.0.0–2.1.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites that process user-supplied data without proper sanitization are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xlsx-viewer/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/xlsx-viewer/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.26% (49% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar XLSXviewer a la versión 2.1.2 o superior, que incluye la corrección de la falla de Path Traversal. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio donde se encuentra XLSXviewer, limitando el acceso solo a usuarios autorizados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Verifique después de la actualización que el acceso a archivos sensibles fuera del directorio de XLSXviewer esté bloqueado, intentando acceder a archivos conocidos en ubicaciones no autorizadas.
Actualice el plugin XLSXviewer a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23562 is a vulnerability in the XLSXviewer WordPress plugin that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using XLSXviewer versions 0.0.0 through 2.1.1 on your WordPress site. Check your plugin versions immediately.
Upgrade the XLSXviewer plugin to version 2.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.