Plataforma
wordpress
Componente
wp-pipes
Corregido en
1.4.4
La vulnerabilidad CVE-2025-60227 es una falla de acceso arbitrario a archivos (Path Traversal) presente en el plugin WP Pipes de ThimPress. Esta vulnerabilidad permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad de datos sensibles. Afecta a las versiones desde 0.0.0 hasta la 1.4.3, y se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales en el servidor web, incluyendo archivos de configuración, contraseñas, claves API y datos de usuarios. El acceso no autorizado a estos archivos puede resultar en la exposición de información sensible, la toma de control del sitio web o incluso el acceso a otros sistemas en la red. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el robo de información crítica en entornos WordPress, y su explotación puede tener consecuencias graves para la seguridad de la aplicación y los datos asociados.
La vulnerabilidad CVE-2025-60227 fue publicada el 22 de octubre de 2025. No se ha confirmado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa. La severidad de la vulnerabilidad es alta, lo que indica una alta probabilidad de explotación si no se toman medidas correctivas.
WordPress websites utilizing the WP Pipes plugin, particularly those running older versions (0.0.0 - 1.4.3), are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates or implement workarounds.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/wp-pipes.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Pipes a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad temporales, como restringir el acceso al directorio de plugins a través de un firewall de aplicaciones web (WAF) o configurar reglas de proxy para bloquear solicitudes sospechosas. Además, se debe revisar la configuración del servidor web para asegurar que las directivas de seguridad estén correctamente configuradas y que el acceso a archivos sensibles esté restringido. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos fuera del directorio previsto.
No se conoce ninguna solución disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-60227 is a HIGH severity vulnerability in WP Pipes allowing attackers to read arbitrary files on a WordPress server. It affects versions 0.0.0 through 1.4.3.
You are affected if your WordPress site uses WP Pipes version 0.0.0 to 1.4.3. Check your plugin versions immediately.
Upgrade WP Pipes to the latest available version as soon as a patch is released by the vendor. Until then, consider WAF rules or restricting file access permissions.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Check the ThimPress website and WordPress plugin repository for updates and advisories related to CVE-2025-60227.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.