Plataforma
wordpress
Componente
aviation-weather-from-noaa
Corregido en
0.7.3
Se ha descubierto una vulnerabilidad de Path Traversal (Acceso Arbitrario a Archivos) en el plugin Aviation Weather from NOAA para WordPress. Esta falla permite a un atacante, bajo ciertas condiciones, acceder a archivos arbitrarios en el servidor. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 0.7.2. Una actualización a la versión 0.7.3 resuelve este problema.
La vulnerabilidad de Path Traversal en Aviation Weather from NOAA permite a un atacante leer archivos sensibles en el servidor web donde está instalado el plugin. Esto podría incluir archivos de configuración, contraseñas, claves API, o incluso código fuente de otras aplicaciones. Un atacante podría utilizar esta información para comprometer aún más el sistema, obtener acceso no autorizado a datos confidenciales o ejecutar código malicioso. La severidad de esta vulnerabilidad es alta debido al potencial de acceso no autorizado a información crítica y la relativa facilidad con la que puede ser explotada.
Esta vulnerabilidad ha sido publicada públicamente el 4 de julio de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal hace que sea un objetivo atractivo para atacantes automatizados. La vulnerabilidad no se encuentra en el catálogo KEV de CISA al momento de esta redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/aviation-weather-from-noaa/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Aviation Weather from NOAA a la versión 0.7.3 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad del sitio web antes de actualizar y probar la actualización en un entorno de pruebas. Como medida adicional, revise los permisos de los archivos y directorios del servidor web para asegurar que solo los usuarios autorizados tengan acceso a ellos. No existen configuraciones específicas de WordPress que puedan mitigar completamente esta vulnerabilidad sin la actualización.
Actualice el plugin Aviation Weather from NOAA a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivo, evitando el acceso no autorizado a archivos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28980 is a HIGH severity vulnerability in Aviation Weather from NOAA allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 0.7.2.
If you are using Aviation Weather from NOAA version 0.0.0 to 0.7.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Aviation Weather from NOAA plugin to version 0.7.3 or later. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Check the WordPress plugin repository and the developer's website for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.