Plataforma
wordpress
Componente
wp-businessdirectory
Corregido en
3.1.3
Se ha descubierto una vulnerabilidad de acceso a archivos arbitrarios (Path Traversal) en el plugin WP-BusinessDirectory de CMSJunkie para WordPress. Esta falla permite a atacantes acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.1.2, y se recomienda actualizar a la versión 3.1.3 para solucionar el problema.
La vulnerabilidad de Path Traversal en WP-BusinessDirectory permite a un atacante, con acceso al sitio web, leer archivos arbitrarios en el servidor. Esto podría incluir archivos de configuración, contraseñas, código fuente u otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para obtener información sensible, modificar archivos del sistema o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la exposición de datos sensibles, la toma de control del sitio web y la pérdida de la integridad del sistema.
Esta vulnerabilidad ha sido publicada el 11 de abril de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. Es importante implementar las mitigaciones lo antes posible para reducir el riesgo de exposición. La vulnerabilidad se encuentra en el catálogo KEV de CISA, lo que indica una probabilidad de explotación moderada.
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WP-BusinessDirectory a la versión 3.1.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio previsto. Además, revise los permisos de archivos y directorios en el servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que el acceso a archivos sensibles esté restringido mediante pruebas de penetración.
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32629 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server running the WP-BusinessDirectory plugin. It impacts versions 0.0.0–3.1.2.
You are affected if your WordPress site uses the WP-BusinessDirectory plugin and is running version 3.1.2 or earlier. Check your plugin versions immediately.
Upgrade the WP-BusinessDirectory plugin to version 3.1.3 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the CMSJunkie website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.