Plataforma
wordpress
Componente
image-shadow
Corregido en
1.1.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin Image Shadow de RobMarsh. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor, potencialmente comprometiendo la confidencialidad e integridad de los datos. Afecta las versiones desde 0.0.0 hasta la 1.1.0, y se recomienda actualizar a la versión 1.1.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Image Shadow permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría leer información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, especialmente en entornos de alojamiento compartido donde múltiples sitios web comparten los mismos recursos del servidor.
La vulnerabilidad CVE-2025-24765 fue publicada el 2025-06-27. No se ha reportado su inclusión en el KEV de CISA, ni se han identificado campañas de explotación activas. Sin embargo, la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes automatizados, y la disponibilidad de herramientas de escaneo de vulnerabilidades facilita su detección y explotación. Se recomienda monitorear los registros del servidor web en busca de patrones de acceso sospechosos.
WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/image-shadow/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Image Shadow a la versión 1.1.1 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los directorios sensibles a través de reglas de firewall o WAF. Además, revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de acceso a archivos fuera del directorio previsto ahora retornan un error 403 (Forbidden).
Actualice el plugin Image Shadow a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24765 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Image Shadow versions 0.0.0–1.1.0.
Yes, if you are using Image Shadow versions 0.0.0 through 1.1.0, you are affected by this vulnerability.
Upgrade the Image Shadow plugin to version 1.1.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
As of 2025-06-27, no active exploitation has been confirmed, but monitoring is recommended.
Refer to the RobMarsh project's official website or WordPress plugin repository for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.