Plataforma
wordpress
Componente
wp01
Corregido en
2.6.3
La vulnerabilidad CVE-2025-30567 es una falla de Path Traversal detectada en el plugin WP01. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad e integridad de los datos. Afecta a las versiones de WP01 desde 0.0.0 hasta la 2.6.2, y se ha solucionado en la versión 2.6.3.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles del servidor, como archivos de configuración, contraseñas o código fuente. Esto podría llevar a la divulgación de información confidencial, la ejecución de código malicioso o el control total del servidor. La falta de una validación adecuada de la ruta del archivo permite a los atacantes utilizar secuencias como '../' para navegar fuera del directorio previsto y acceder a archivos fuera del alcance. La severidad de esta vulnerabilidad es alta debido a su potencial para causar un daño significativo.
La vulnerabilidad CVE-2025-30567 fue publicada el 25 de marzo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación por parte de atacantes. La probabilidad de explotación se considera media debido a la facilidad de explotación y la amplia superficie de ataque de WordPress.
Websites utilizing the WP01 plugin in versions 0.0.0 through 2.6.2 are at risk. This includes sites using shared hosting environments where plugin updates may not be managed automatically, and those with legacy WordPress installations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp01/*• generic web:
curl -I 'http://example.com/wp-content/plugins/wp01/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
27.19% (96% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-30567 es actualizar el plugin WP01 a la versión 2.6.3 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de Path Traversal. Además, se debe revisar la configuración del servidor web para asegurar que el acceso a directorios sensibles esté restringido. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos fuera del directorio previsto.
Actualice el plugin WP01 a la versión 2.6.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30567 is a vulnerability in the WP01 WordPress plugin that allows attackers to read arbitrary files on the server via path traversal.
You are affected if you are using WP01 versions 0.0.0 through 2.6.2. Upgrade to 2.6.3 or later to resolve the issue.
Upgrade the WP01 plugin to version 2.6.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the WP01 plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.