Plataforma
wordpress
Componente
helloprint
Corregido en
2.0.8
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en Helloprint, un plugin de WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones desde 0.0.0 hasta la 2.0.7, y se ha publicado una corrección en la versión 2.0.8.
La vulnerabilidad de Path Traversal en Helloprint permite a un atacante, con acceso a la aplicación web, manipular las solicitudes para acceder a archivos fuera del directorio previsto. Esto podría incluir la lectura de archivos de configuración, código fuente, o incluso archivos de bases de datos, exponiendo información confidencial. Un atacante podría, por ejemplo, acceder a archivos de copia de seguridad o archivos de registro que contengan credenciales de acceso. La explotación exitosa de esta vulnerabilidad podría conducir a la toma de control del servidor o a la exfiltración de datos sensibles, con un impacto significativo en la integridad y confidencialidad de la información.
La vulnerabilidad fue publicada el 3 de marzo de 2025. No se han reportado casos de explotación activa en campañas dirigidas, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes automatizados. La probabilidad de explotación se considera media debido a la facilidad de explotación y la amplia disponibilidad de herramientas para realizar ataques de Path Traversal.
WordPress sites utilizing the Helloprint plugin, particularly those with older versions (0.0.0–2.0.7), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be unable to implement mitigation workarounds effectively. Sites with sensitive data stored on the same server as the WordPress installation face a higher risk of data exposure.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/helloprint/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/helloprint/../../../../etc/passwd"disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Helloprint a la versión 2.0.8 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación del plugin a través de reglas de firewall o WAF. Además, se recomienda revisar los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso. Verifique que el servidor web no permita el acceso directo a archivos sensibles.
Actualice el plugin Helloprint a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones del plugin en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26540 is a Path Traversal vulnerability in the Helloprint WordPress plugin allowing attackers to read arbitrary files. It has a CVSS score of 7.7 and affects versions 0.0.0–2.0.7.
Yes, if your WordPress site uses the Helloprint plugin and is running version 0.0.0 through 2.0.7, you are affected by this vulnerability.
Upgrade the Helloprint WordPress plugin to version 2.0.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions and WAF rules.
As of now, there is no evidence of active exploitation campaigns targeting CVE-2025-26540, but the high CVSS score warrants vigilance.
Refer to the Helloprint project's official website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-26540.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.