Plataforma
wordpress
Componente
wpevently
Corregido en
4.2.10
La vulnerabilidad CVE-2025-30895 es una falla de Path Traversal descubierta en el plugin WpEvently de magepeopleteam. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución de código malicioso en el servidor. Afecta a las versiones de WpEvently desde 0.0.0 hasta la 4.2.9, y la solución es actualizar a la versión 4.2.10.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, incluyendo archivos de configuración, contraseñas y código fuente. La inclusión de archivos locales PHP permite la ejecución de código arbitrario, lo que podría llevar al control completo del servidor web. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a sistemas críticos. El impacto potencial es significativo, especialmente en entornos de producción donde se almacenan datos confidenciales.
La vulnerabilidad CVE-2025-30895 fue publicada el 27 de marzo de 2025. No se ha añadido a la lista KEV de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-30895 es actualizar el plugin WpEvently a la versión 4.2.10 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida adicional, implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Verifique que los permisos de los archivos y directorios del plugin sean restrictivos para evitar la ejecución no autorizada de código.
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30895 is a Path Traversal vulnerability in the WpEvently WordPress plugin allowing attackers to include arbitrary files, potentially exposing sensitive data.
Yes, if you are using WpEvently versions 0.0.0 through 4.2.9, you are affected by this vulnerability.
Upgrade the WpEvently plugin to version 4.2.10 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade isn't possible.
Currently, there are no confirmed active exploitation campaigns, but the availability of a PoC increases the risk.
Refer to the WpEvently plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.