Plataforma
wordpress
Componente
newsletters-lite
Corregido en
4.9.10
El plugin Newsletters para WordPress presenta una vulnerabilidad de Inclusión de Archivos Locales (LFI). Esta falla permite a atacantes autenticados, con privilegios de administrador o superiores, incluir y ejecutar archivos arbitrarios en el servidor. El impacto puede ser significativo, incluyendo la ejecución de código malicioso y el acceso a información sensible.
Un atacante que explote esta vulnerabilidad puede subir imágenes u otros archivos considerados seguros, y luego incluirlos a través del parámetro 'file'. Esto permite la ejecución de código PHP arbitrario en el servidor. El atacante podría entonces obtener acceso no autorizado a datos confidenciales, modificar archivos del sistema, o incluso tomar el control completo del servidor web. La capacidad de ejecutar código arbitrario representa un riesgo de seguridad crítico, similar a otras vulnerabilidades de inclusión de archivos que han permitido el compromiso total de sistemas.
Esta vulnerabilidad ha sido publicada el 31 de mayo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa simplicidad la hacen susceptible a ser explotada. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa. La vulnerabilidad se considera de alta prioridad debido a su potencial impacto.
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Newsletters a una versión corregida. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al parámetro 'file' a través de reglas de firewall de aplicaciones web (WAF) o proxies inversos. Además, se debe revisar y endurecer la configuración de permisos de archivos y directorios en el servidor para limitar el impacto potencial de la inclusión de archivos. Verifique que el servidor web esté configurado para no permitir la ejecución de scripts PHP en directorios donde se almacenan archivos de medios.
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4857 is a Local File Inclusion vulnerability in the WordPress Newsletters plugin, allowing authenticated attackers to execute arbitrary PHP code. It affects versions 0.0.0–4.9.9.9 and has a HIGH severity rating.
If you are using the WordPress Newsletters plugin in versions 0.0.0 through 4.9.9.9, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WordPress Newsletters plugin to a patched version as soon as it is available. Until then, implement WAF rules and restrict file upload permissions as temporary mitigations.
While active exploitation has not been confirmed, the vulnerability is considered high severity and public PoC code is anticipated, increasing the likelihood of exploitation.
Refer to the WordPress security announcements page and the Newsletters plugin's official website for updates and advisories related to CVE-2025-4857.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.