Plataforma
wordpress
Componente
pt-luxa-addons
Corregido en
1.2.3
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin ypromo PT Luxa Addons. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor. Afecta a las versiones desde 0.0.0 hasta la 1.2.2 inclusive. La solución es actualizar el plugin a la versión 1.2.3.
La vulnerabilidad de Path Traversal en ypromo PT Luxa Addons permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, comprometiendo la confidencialidad e integridad del sistema. Un atacante podría leer información sensible, modificar archivos críticos o incluso ejecutar código malicioso en el servidor. La exposición de archivos de configuración podría revelar credenciales de bases de datos u otras claves de acceso, facilitando el acceso no autorizado a otros sistemas.
Esta vulnerabilidad ha sido publicada el 2025-10-22. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace fácilmente explotable. No se encuentra en el KEV de CISA. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*• generic web:
curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'pt-luxa-addons'• wordpress / composer / npm:
wp plugin update pt-luxa-addonsdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin ypromo PT Luxa Addons a la versión 1.2.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de Path Traversal (por ejemplo, '../'). Revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que el acceso a archivos sensibles esté restringido y que el plugin funcione correctamente.
Actualice el plugin PT Luxa Addons a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-60217 is a HIGH severity vulnerability in the PT Luxa Addons WordPress plugin allowing attackers to read arbitrary files via path traversal. Versions 0.0.0–1.2.2 are affected.
You are affected if your WordPress site uses the PT Luxa Addons plugin and is running version 0.0.0 through 1.2.2. Check your plugin versions immediately.
Upgrade the PT Luxa Addons plugin to version 1.2.3 or later. If immediate upgrade isn't possible, implement WAF rules to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the ypromo website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-60217.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.