Plataforma
wordpress
Componente
wp-pipes
Corregido en
1.4.3
La vulnerabilidad CVE-2025-48267 es una falla de Path Traversal detectada en el plugin WP Pipes. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de la información. Afecta a las versiones de WP Pipes desde n/a hasta la 1.4.2. Una actualización a la versión 1.4.3 resuelve esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales en el servidor web, como archivos de configuración, contraseñas o código fuente. Esto podría llevar a la exposición de información sensible, la toma de control del sitio web o incluso el acceso al sistema subyacente. La severidad ALTA (CVSS 8.6) indica un riesgo significativo. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a datos críticos en entornos WordPress.
La vulnerabilidad fue publicada el 9 de junio de 2025. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se ha añadido al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA, lo que indica una probabilidad de explotación moderada a alta. Se recomienda monitorear la actividad del sitio web para detectar posibles intentos de explotación.
WordPress websites using the WP Pipes plugin are at risk. Specifically, sites running older versions of WP Pipes (prior to 1.4.3) are vulnerable. Shared hosting environments where users have limited control over plugin updates are particularly susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Pipes a la versión 1.4.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres de Path Traversal (../). Revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso de lectura.
Actualice el plugin WP Pipes a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48267 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server through path manipulation. It affects versions before 1.4.3.
You are affected if your WordPress site uses WP Pipes version 1.4.2 or earlier. Check your plugin versions and upgrade immediately.
Upgrade WP Pipes to version 1.4.3 or later. If immediate upgrade is not possible, implement WAF rules to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests it may be targeted. Monitor security advisories for updates.
Check the ThimPress website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.