Plataforma
wordpress
Componente
dyapress
Corregido en
18.0.3
La vulnerabilidad CVE-2025-30582 es una falla de Path Traversal descubierta en DyaPress ERP/CRM, que permite la inclusión de archivos locales PHP. Esta falla permite a un atacante acceder a archivos sensibles en el servidor. Afecta a las versiones desde 0.0.0 hasta la 18.0.2.0. Se recomienda actualizar a la versión 18.0.3 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para leer archivos arbitrarios en el servidor donde está instalado DyaPress ERP/CRM. Esto podría incluir archivos de configuración, contraseñas, código fuente u otros datos confidenciales. La inclusión de archivos locales (LFI) permite a un atacante ejecutar código malicioso en el contexto del proceso del servidor web, lo que podría resultar en la toma de control del sistema. Si bien no se han reportado explotaciones públicas, la naturaleza de la vulnerabilidad la convierte en un objetivo atractivo para atacantes, especialmente considerando que DyaPress ERP/CRM es utilizado por empresas para gestionar información crítica.
CVE-2025-30582 fue publicado el 2025-04-10. No se ha añadido a KEV a la fecha. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal implica un riesgo moderado de explotación, especialmente en entornos donde la seguridad no está debidamente configurada. Se recomienda monitorear los registros del servidor web en busca de patrones sospechosos.
Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.
• wordpress / composer / npm:
grep -r "../" /var/www/dyapress/• generic web:
curl -I http://your-dyapress-server.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --all | grep dyapressdisclosure
Estado del Exploit
EPSS
0.26% (49% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-30582 es actualizar DyaPress ERP/CRM a la versión 18.0.3 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación de DyaPress ERP/CRM a través de reglas de firewall o WAF. Además, es crucial revisar y endurecer la configuración del servidor web para limitar el acceso a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de acceder a archivos fuera del directorio permitido sean bloqueados.
Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30582 is a Path Traversal vulnerability allowing attackers to include arbitrary files in DyaPress ERP/CRM, potentially leading to sensitive data exposure or code execution. It affects versions 0.0.0–18.0.2.0.
If you are using DyaPress ERP/CRM versions 0.0.0 through 18.0.2.0, you are potentially affected by this vulnerability. Upgrade to 18.0.3 or later to mitigate the risk.
The recommended fix is to upgrade DyaPress ERP/CRM to version 18.0.3 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no public exploits are currently known, the vulnerability's nature makes it easily exploitable, and active exploitation is possible.
Refer to the official DyaPress ERP/CRM security advisories on their website or through their support channels for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.