Plataforma
wordpress
Componente
images-optimizer
Corregido en
3.3.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos (Path Traversal) en el plugin A/B Image Optimizer. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.3, y se recomienda actualizar a la versión 3.3.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en A/B Image Optimizer permite a un atacante, mediante la manipulación de la ruta de archivo, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos del sistema operativo. Un atacante podría leer información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es alto, especialmente en entornos de alojamiento compartido donde múltiples sitios web comparten los mismos recursos del servidor. La exposición de información sensible podría resultar en robo de datos, daño a la reputación, y posibles sanciones regulatorias.
Esta vulnerabilidad ha sido publicada públicamente el 7 de febrero de 2025. No se ha reportado explotación activa a la fecha. La severidad es alta (CVSS 7.5), lo que indica una probabilidad moderada de ser explotada si no se toman medidas correctivas. Es importante monitorear los registros del servidor en busca de intentos de acceso no autorizados.
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
Estado del Exploit
EPSS
25.69% (96% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin A/B Image Optimizer a la versión 3.3.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de escape de ruta (como '../') en los parámetros de la URL. Verifique que los permisos de los archivos y directorios del plugin sean restrictivos, limitando el acceso solo a los usuarios necesarios.
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25163 is a High severity vulnerability in the A/B Image Optimizer WordPress plugin that allows attackers to read arbitrary files on the server through path traversal.
You are affected if you are using A/B Image Optimizer versions 0.0.0 through 3.3. Upgrade to 3.3.1 or later to mitigate the risk.
Upgrade the A/B Image Optimizer plugin to version 3.3.1 or later. If immediate upgrade is not possible, restrict file upload access.
As of now, there are no confirmed reports of active exploitation, but the High severity score warrants immediate action.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.