Plataforma
wordpress
Componente
delete-comments-by-status
Corregido en
2.1.2
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Delete Comments By Status para WordPress. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad del sistema. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.1.1, y se recomienda actualizar a la versión 2.1.2 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en Delete Comments By Status permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio raíz previsto. Esto podría incluir archivos de configuración, código fuente, o datos sensibles almacenados en el servidor. Un atacante podría, por ejemplo, leer el archivo wp-config.php, comprometiendo las credenciales de la base de datos y obteniendo control total sobre el sitio web. La exposición de información sensible podría llevar a la exfiltración de datos, la modificación de contenido, o incluso la ejecución remota de código, dependiendo de los permisos del usuario web y los archivos accesibles.
Esta vulnerabilidad ha sido publicada el 3 de marzo de 2025. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los registros del servidor web en busca de intentos de acceso a archivos no autorizados.
WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Delete Comments By Status a la versión 2.1.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Además, revise los permisos de los archivos y directorios del servidor web para asegurar que solo el usuario web tenga acceso a los archivos necesarios.
Actualice el plugin Delete Comments By Status a la última versión disponible para mitigar la vulnerabilidad de Path Traversal. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25130 is a Path Traversal vulnerability affecting the Delete Comments By Status WordPress plugin, allowing attackers to read arbitrary files.
You are affected if you are using Delete Comments By Status versions 0.0.0 through 2.1.1. Upgrade to 2.1.2 or later to mitigate the risk.
Upgrade the Delete Comments By Status plugin to version 2.1.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There are currently no reports of active exploitation, but the vulnerability is publicly known and poses a significant risk.
Check the Delete Comments By Status plugin page on WordPress.org for updates and security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.