Plataforma
wordpress
Componente
wolf
Corregido en
1.0.9
La vulnerabilidad CVE-2025-24605 es una falla de Path Traversal descubierta en WOLF bulk-editor, un plugin para WordPress desarrollado por RealMag777. Esta vulnerabilidad permite a atacantes acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones desde 0.0.0 hasta la 1.0.8.5, y se ha solucionado en la versión 1.0.9.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales en el servidor web, incluyendo archivos de configuración, contraseñas, o incluso código fuente de otras aplicaciones. Esto podría resultar en la exposición de información sensible, la toma de control del servidor, o la ejecución de código malicioso. La severidad de esta vulnerabilidad es alta debido a la facilidad con la que un atacante puede explotarla y el potencial impacto en la seguridad del sistema. La posibilidad de acceder a archivos fuera del directorio previsto es similar a vulnerabilidades encontradas en otros plugins de WordPress que no validan correctamente las entradas del usuario.
La vulnerabilidad fue publicada el 3 de febrero de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace fácilmente explotable. La probabilidad de explotación se considera media debido a la disponibilidad de herramientas para automatizar la búsqueda de vulnerabilidades de este tipo. No se ha añadido a la lista KEV de CISA al momento de la redacción.
WordPress websites utilizing the WOLF bulk-editor plugin, particularly those running older versions (0.0.0 - 1.0.8.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider should also be monitored to ensure timely patching.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wolf-bulk-editor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wolf-bulk-editor/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar WOLF bulk-editor a la versión 1.0.9 o superior, donde se ha corregido la falla de Path Traversal. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de las configuraciones del servidor web. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo puede ayudar a mitigar el riesgo. Verifique que el plugin no tenga permisos de escritura innecesarios en el directorio de instalación.
Actualice el plugin WOLF a una versión corregida. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener más información sobre las versiones disponibles y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24605 is a Path Traversal vulnerability affecting the WOLF bulk-editor WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using WOLF bulk-editor versions 0.0.0 through 1.0.8.5. Upgrade to 1.0.9 or later to mitigate the risk.
Upgrade the WOLF bulk-editor plugin to version 1.0.9 or later. If upgrading is not possible, restrict access to the plugin directory and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.