Plataforma
wordpress
Componente
litho
Corregido en
3.0.1
Se ha identificado una vulnerabilidad de Path Traversal (acceso a archivos arbitrarios) en el tema Litho de themezaa. Esta falla permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo potencialmente la confidencialidad de datos sensibles. La vulnerabilidad afecta a las versiones de Litho desde 0.0.0 hasta la 3.0, y se recomienda actualizar a la versión 3.0.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Litho permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos arbitrarios en el servidor donde está instalado el tema. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos que contengan información confidencial como credenciales de usuario o datos personales. Un atacante podría utilizar esta vulnerabilidad para obtener información sensible, modificar archivos del sistema, o incluso ejecutar código malicioso en el servidor, dependiendo de los permisos del usuario bajo el cual se ejecuta el proceso del servidor web. La severidad de este impacto se agrava si el servidor web está configurado para permitir el acceso público a ciertos directorios.
La vulnerabilidad CVE-2025-49879 fue publicada el 17 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA, ni existen públicamente pruebas de explotación activa. Sin embargo, la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para los atacantes, y es probable que se desarrollen exploits en el futuro. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el tema Litho a la versión 3.0.1, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los archivos sensibles a través de configuraciones del servidor web (por ejemplo, utilizando .htaccess para denegar el acceso a directorios críticos). Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas que intentan explotar la vulnerabilidad. Verifique que los permisos de los archivos y directorios del tema sean lo más restrictivos posible.
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49879 is a HIGH severity vulnerability in the Litho WordPress theme allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.0.
You are affected if your WordPress site uses the Litho theme and is running version 3.0 or earlier. Upgrade to 3.0.1 to resolve the issue.
Upgrade the Litho WordPress theme to version 3.0.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no indication that CVE-2025-49879 is being actively exploited, but it's crucial to apply the patch promptly.
Refer to the themezaa website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-49879.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.