Plataforma
wordpress
Componente
upc-ean-barcode-generator
Corregido en
2.0.3
Se ha identificado una vulnerabilidad de Path Traversal en el generador de códigos UPC/EAN/GTIN de Dmitry V. (UKR Solution). Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.0.2. Una actualización a la versión 2.0.3 soluciona este problema.
La vulnerabilidad de Path Traversal en UPC/EAN/GTIN Code Generator permite a un atacante, mediante la manipulación de la ruta del archivo solicitado, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría utilizar esta vulnerabilidad para extraer información confidencial, modificar archivos del sistema o incluso ejecutar código malicioso en el servidor, si existen permisos de escritura. La severidad de este impacto se agrava si el servidor web aloja otros sitios web o aplicaciones, lo que podría permitir al atacante comprometer otros sistemas a través de la misma vulnerabilidad.
La vulnerabilidad CVE-2025-53588 fue publicada el 28 de agosto de 2025. No se han reportado activamente campañas de explotación conocidas al momento de la publicación. La probabilidad de explotación se considera media, dado que las vulnerabilidades de Path Traversal son relativamente fáciles de explotar y son un objetivo común para los atacantes. No se encuentra en el KEV de CISA.
WordPress websites utilizing the UPC/EAN/GTIN Code Generator plugin, particularly those running older, unpatched versions (0.0.0–2.0.2), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/upc-ean-barcode-generator/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/upc-ean-barcode-generator/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.0.3 del generador de códigos UPC/EAN/GTIN. Si la actualización no es inmediatamente posible, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas, como '..' o '/'. Además, revise la configuración del servidor web para asegurar que el directorio raíz del sitio web esté correctamente configurado y que los permisos de acceso a los archivos sean restrictivos. Considere implementar un sistema de detección de intrusiones (IDS) para monitorear el tráfico web en busca de patrones de ataque relacionados con Path Traversal.
Actualice el plugin UPC/EAN/GTIN Code Generator a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Esta actualización debe mitigar el riesgo de eliminación arbitraria de archivos en su sitio de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53588 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server due to a path traversal flaw in the UPC/EAN/GTIN Code Generator plugin.
You are affected if you are using UPC/EAN/GTIN Code Generator versions 0.0.0 through 2.0.2. Check your plugin versions immediately.
Upgrade the UPC/EAN/GTIN Code Generator plugin to version 2.0.3 or later. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
As of now, there are no confirmed reports of active exploitation, but the high CVSS score suggests a potential risk.
Check the plugin's official website or WordPress plugin repository for updates and advisories related to CVE-2025-53588.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.