Plataforma
wordpress
Componente
lbg-cleverbakery
Corregido en
2.5.4
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin HTML5 Radio Player - WPBakery Page Builder Addon de LambertGroup. Esta falla permite a un atacante acceder a archivos sensibles en el servidor. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 2.5, y se recomienda actualizar a la versión 2.5.4 para solucionar el problema.
La vulnerabilidad de Path Traversal permite a un atacante, sin autenticación, leer archivos arbitrarios en el servidor web. Esto podría incluir archivos de configuración, código fuente, contraseñas u otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para obtener información sensible, modificar archivos del sistema o incluso ejecutar código malicioso en el servidor. La severidad de esta vulnerabilidad radica en su facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 16 de julio de 2025. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se encuentra en un plugin de WordPress, lo que aumenta su exposición potencial. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites utilizing the HTML5 Radio Player - WPBakery Page Builder Addon, particularly those running older versions (0.0.0–2.5), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/lbg-cleverbakery/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/lbg-cleverbakery/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) con reglas para bloquear solicitudes que contengan secuencias de caracteres de path traversal (../). Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualice el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, evitando el acceso no autorizado a archivos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-31070 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in the HTML5 Radio Player plugin for WordPress.
You are affected if you are using the HTML5 Radio Player - WPBakery Page Builder Addon versions 0.0.0 through 2.5. Check your plugin versions immediately.
Upgrade the HTML5 Radio Player - WPBakery Page Builder Addon to version 2.5.4 or later to resolve this vulnerability.
As of the current date, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the LambertGroup website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-31070.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.