Plataforma
wordpress
Componente
estatik
Corregido en
4.3.1
Se ha descubierto una vulnerabilidad de Inclusión de Archivos Locales (LFI) en el plugin Estatik para WordPress. Esta vulnerabilidad, identificada como CVE-2025-26905, permite a un atacante leer archivos arbitrarios del servidor. Afecta a las versiones desde 0.0.0 hasta la 4.3.0. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
La vulnerabilidad de LFI en Estatik permite a un atacante, con acceso al frontend del sitio WordPress, incluir archivos arbitrarios del sistema de archivos del servidor. Esto podría resultar en la exposición de información confidencial, como contraseñas, claves API, archivos de configuración, o incluso código fuente del sitio web. En un escenario de ataque exitoso, un atacante podría obtener acceso a información sensible, comprometer la integridad del sitio web, o incluso ejecutar código malicioso en el servidor, dependiendo de los permisos del usuario web y los archivos accesibles. La inclusión de archivos sensibles podría facilitar la escalada de privilegios y el acceso a otros sistemas en la red.
La vulnerabilidad CVE-2025-26905 fue publicada el 25 de febrero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. La existencia de una vulnerabilidad de LFI en un plugin popular de WordPress aumenta el riesgo de explotación, especialmente si el plugin se utiliza en una gran cantidad de sitios web.
WordPress websites utilizing the Estatik plugin, particularly those running older versions (0.0.0 - 4.3.0), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised Estatik installation on one site could potentially impact other sites on the same server. Users who have not implemented robust file upload validation or access controls are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/estatik/• wordpress / composer / npm:
wp plugin list --status=active | grep estatik• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd | head -n 1disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-26905 es actualizar el plugin Estatik a la última versión disponible, que debería corregir la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al plugin mediante un firewall de aplicaciones web (WAF) o reglas de proxy que bloqueen solicitudes que intenten acceder a archivos fuera del directorio del plugin. Además, se debe revisar la configuración de permisos del servidor web para asegurar que el usuario web no tenga permisos de lectura en directorios sensibles. Monitorear los logs del servidor en busca de patrones sospechosos de inclusión de archivos también puede ayudar a detectar y prevenir ataques.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26905 is a Path Traversal vulnerability affecting the Estatik WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
If you are using Estatik WordPress plugin versions 0.0.0 through 4.3.0, you are potentially affected by this vulnerability.
The recommended fix is to update the Estatik plugin to a patched version. If immediate upgrade is not possible, implement temporary restrictions and WAF rules.
While no widespread exploitation has been confirmed, the vulnerability is well-understood and could be exploited, so vigilance is advised.
Refer to the Estatik plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.