Plataforma
wordpress
Componente
workreap
Corregido en
3.3.6
La vulnerabilidad CVE-2025-59566 es una falla de Path Traversal descubierta en el plugin Workreap de AmentoTech. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad e integridad de los datos. Afecta a las versiones del plugin desde 0.0.0 hasta la 3.3.5, y se ha solucionado en la versión 3.3.6.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, incluyendo archivos de configuración, código fuente, o incluso archivos de bases de datos. Esto podría resultar en la exposición de información confidencial, la modificación de la funcionalidad del sitio web, o incluso la toma del control del servidor. La capacidad de acceder a archivos arbitrarios amplía significativamente el radio de impacto, permitiendo a los atacantes escalar privilegios y comprometer otros sistemas en la red. La falta de una validación adecuada de la ruta del archivo permite a los atacantes utilizar secuencias como '../' para navegar fuera del directorio previsto y acceder a archivos fuera del alcance.
La vulnerabilidad fue publicada el 22 de octubre de 2025. Actualmente no se dispone de información sobre explotación activa en campañas conocidas. La puntuación CVSS de 7.7 (ALTO) indica una probabilidad moderada de explotación, especialmente si se dispone de un Proof of Concept (PoC) público. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/workreap/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-59566 es actualizar el plugin Workreap a la versión 3.3.6 o superior. Si la actualización no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de Path Traversal (como '../'). También es recomendable revisar los permisos de los archivos y directorios del servidor web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Monitoree los logs del servidor web en busca de intentos de acceso a archivos inusuales o sospechosos.
Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59566 is a HIGH severity vulnerability in the Workreap plugin for WordPress that allows attackers to read arbitrary files on the server due to improper path validation.
You are affected if you are using Workreap plugin versions 0.0.0 through 3.3.5. Upgrade to version 3.3.6 to resolve the vulnerability.
Upgrade the Workreap plugin to version 3.3.6 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the AmentoTech advisory and the WordPress plugin directory for updates and further information regarding CVE-2025-59566.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.