Plataforma
wordpress
Componente
spice-blocks
Corregido en
2.0.8
La vulnerabilidad CVE-2025-48130 es una falla de Path Traversal que afecta a Spice Blocks, un plugin para WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. Las versiones afectadas son desde 0.0.0 hasta la 2.0.7.4; la solución es actualizar a la versión 2.0.7.5.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, como archivos de configuración, contraseñas o código fuente. Esto podría llevar a la exposición de información confidencial, la ejecución de código malicioso o el control total del servidor. La falla de Path Traversal permite la manipulación de la ruta de acceso a archivos, eludiendo las restricciones de seguridad y permitiendo el acceso a recursos no autorizados. La severidad de esta vulnerabilidad radica en su potencial para comprometer la seguridad del sitio web y la información que contiene.
La vulnerabilidad CVE-2025-48130 fue publicada el 9 de junio de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación por parte de actores maliciosos. Se recomienda monitorear los registros del servidor en busca de intentos de acceso a archivos no autorizados.
WordPress websites utilizing the Spice Blocks plugin, particularly those running versions 0.0.0 through 2.0.7.4, are at risk. Shared hosting environments where plugin configurations are less controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/spice-blocks/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/spice-blocks/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-48130 es actualizar Spice Blocks a la versión 2.0.7.5 o superior. Si la actualización no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres de Path Traversal (por ejemplo, '../'). También se recomienda revisar los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que la vulnerabilidad se haya solucionado intentando acceder a un archivo sensible a través de una ruta de acceso manipulada.
Actualizar a la versión 2.0.7.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48130 is a HIGH severity vulnerability in Spice Blocks for WordPress that allows attackers to read arbitrary files on the server.
Yes, if you are using Spice Blocks versions 0.0.0 through 2.0.7.4, you are affected by this vulnerability.
Upgrade Spice Blocks to version 2.0.7.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but proactive patching is recommended.
Refer to the Spice Blocks official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.