Plataforma
wordpress
Componente
simple-file-list
Corregido en
6.1.15
La vulnerabilidad CVE-2025-54021 es una falla de Path Traversal en el plugin Simple File List, que permite a atacantes acceder a archivos arbitrarios en el servidor. Esta vulnerabilidad, clasificada con una severidad alta (CVSS 7.5), afecta a las versiones desde 0.0.0 hasta la 6.1.14. La solución recomendada es actualizar a la versión 6.1.15.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales del servidor, incluyendo información sensible como contraseñas, claves de API, o datos de configuración. El acceso no autorizado a estos archivos podría resultar en la exposición de información confidencial, la toma de control del sitio web, o incluso el acceso al sistema subyacente. La naturaleza de Path Traversal permite a los atacantes navegar por el sistema de archivos más allá del directorio previsto, lo que amplía el alcance potencial del ataque. Este tipo de vulnerabilidad es común en aplicaciones web que no validan adecuadamente las entradas del usuario.
La vulnerabilidad fue publicada el 2025-08-20. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
WordPress websites utilizing the Simple File List plugin, particularly those running older versions (0.0.0–6.1.14), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Sites with sensitive data stored on the server, such as database credentials or configuration files, face a higher potential impact.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/simple-file-list/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/simple-file-list/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54021 es actualizar el plugin Simple File List a la versión 6.1.15 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una WAF (Web Application Firewall) con reglas que bloqueen solicitudes con secuencias de Path Traversal (por ejemplo, '../'). Además, revise los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualice el plugin Simple File List a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54021 is a HIGH severity vulnerability in Simple File List allowing attackers to read arbitrary files on the server due to improper input validation. It affects versions 0.0.0–6.1.14.
You are affected if your WordPress site uses Simple File List version 0.0.0 through 6.1.14. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade Simple File List to version 6.1.15 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of 2025-08-20, there are no confirmed reports of active exploitation, but the vulnerability's simplicity makes it a potential target.
Refer to the Simple File List project's website or WordPress plugin repository for the official advisory and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.