Plataforma
wordpress
Componente
bm-builder
Corregido en
3.16.4
La vulnerabilidad CVE-2025-59002 es una vulnerabilidad de recorrido de directorio (Path Traversal) presente en BM Content Builder. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones desde 0.0.0 hasta la 3.16.3.3. Se ha publicado una corrección en la versión 3.16.3.3.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles almacenados en el servidor web, como archivos de configuración, contraseñas, código fuente o datos de usuarios. El acceso no autorizado a estos archivos puede resultar en la divulgación de información confidencial, la modificación de la configuración del sistema o incluso la ejecución de código malicioso. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad de los datos. Esta vulnerabilidad se asemeja a otros ataques de recorrido de directorio que han afectado a diversas aplicaciones web, permitiendo a los atacantes evadir los controles de acceso y acceder a recursos no autorizados.
La vulnerabilidad CVE-2025-59002 fue publicada el 26 de septiembre de 2025. No se ha añadido a KEV en este momento. La probabilidad de explotación se considera media, dado que los ataques de recorrido de directorio son relativamente fáciles de ejecutar. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían surgir rápidamente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress sites utilizing the BM Content Builder plugin, particularly those running older versions (0.0.0–3.16.3.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored in configuration files or accessible through the WordPress file system are at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bm-builder/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bm-builder/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-59002 es actualizar BM Content Builder a la versión 3.16.3.3 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al directorio donde se encuentra BM Content Builder mediante reglas de firewall o WAF. Revise las configuraciones del servidor web para asegurar que no haya otras vulnerabilidades que puedan ser explotadas en conjunto con esta. Implemente un sistema de detección de intrusiones (IDS) para monitorear el tráfico de red en busca de patrones sospechosos asociados con ataques de recorrido de directorio. Después de la actualización, verifique la integridad de los archivos del plugin para confirmar que la corrección se aplicó correctamente.
Actualice el plugin BM Content Builder a la versión 3.16.3.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Verifique las fuentes oficiales del plugin o el repositorio de WordPress para obtener la última versión. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59002 is a HIGH severity vulnerability in BM Content Builder allowing attackers to read arbitrary files via path traversal. It affects versions 0.0.0–3.16.3.3.
You are affected if your WordPress site uses BM Content Builder versions 0.0.0 through 3.16.3.3. Check your plugin versions immediately.
Upgrade BM Content Builder to version 3.16.3.3 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-59002, but the vulnerability's nature makes it a potential target.
Refer to the BM Content Builder official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.