Plataforma
wordpress
Componente
fw-food-menu
Corregido en
6.0.1
La vulnerabilidad CVE-2025-49448 representa un fallo de Path Traversal (acceso a archivos arbitrarios) en el plugin FW Food Menu de Fastw3b LLC. Esta vulnerabilidad permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad de datos sensibles. Afecta a las versiones del plugin desde n/a hasta la 6.0.0, y se ha solucionado en la versión 6.0.1.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web donde está instalado el plugin FW Food Menu. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de base de datos que contengan información confidencial como contraseñas o datos de usuarios. El impacto potencial es alto, ya que la divulgación de esta información podría llevar a la toma de control del servidor, robo de datos, o incluso la interrupción del servicio. La falta de validación adecuada de la ruta del archivo permite a un atacante manipular la solicitud para acceder a archivos fuera del directorio esperado, similar a vulnerabilidades de Path Traversal encontradas en otros sistemas.
La vulnerabilidad CVE-2025-49448 fue publicada el 27 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas en el momento de la redacción. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'fw-food-menu'• wordpress / composer / npm:
wp plugin update fw-food-menudisclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin FW Food Menu a la versión 6.0.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales como restringir el acceso al directorio del plugin a través de reglas de firewall o WAF (Web Application Firewall). Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso a archivos sensibles desde el exterior. Después de la actualización, verificar que la ruta de acceso a los archivos del plugin se encuentra correctamente protegida y que no se pueden acceder a archivos no autorizados.
Actualice el plugin FW Food Menu a la última versión disponible para corregir la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49448 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through the FW Food Menu plugin. It affects versions before 6.0.1 and requires immediate attention.
You are affected if your WordPress site uses the FW Food Menu plugin and is running a version prior to 6.0.1. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade the FW Food Menu plugin to version 6.0.1 or later. If upgrading is not possible, implement a WAF rule to block path traversal attempts and restrict file permissions.
There is currently no confirmed active exploitation of CVE-2025-49448, but the vulnerability's nature makes it a potential target for opportunistic attacks.
Refer to the official FW Food Menu website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-49448.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.