Plataforma
wordpress
Componente
download-counter
Corregido en
1.4.1
Se ha identificado una vulnerabilidad de acceso a archivos arbitrarios (Path Traversal) en el plugin Download Counter. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor. Afecta a las versiones desde 0.0.0 hasta la 1.4, y se recomienda actualizar a la versión 1.4.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Download Counter permite a un atacante, mediante la manipulación de la ruta del archivo solicitado, acceder a archivos fuera del directorio previsto. Esto podría incluir la lectura de archivos de configuración, código fuente, o incluso archivos del sistema operativo, comprometiendo la confidencialidad de la información. Un atacante con acceso a estos archivos podría obtener credenciales, claves de API, o información sensible sobre la infraestructura del servidor, lo que podría llevar a una escalada de privilegios y un mayor control sobre el sistema. La exposición de información sensible podría resultar en robo de datos, daño a la reputación y consecuencias legales.
Esta vulnerabilidad ha sido publicada el 6 de noviembre de 2025. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de Path Traversal la hace relativamente fácil de explotar una vez identificada la ruta vulnerable. Se recomienda monitorear los registros del servidor en busca de intentos de acceso a archivos inusuales.
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Download Counter a la versión 1.4.1, que incluye la corrección para el Path Traversal. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio del plugin a través de reglas de firewall o WAF. Además, se debe revisar y endurecer la configuración del servidor web para limitar el acceso a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando acceder a un archivo fuera del directorio esperado y verificando que se deniega el acceso.
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-60242 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server through path traversal in the Anatoly Download Counter plugin versions 0.0.0–1.4.
You are affected if your WordPress site uses the Anatoly Download Counter plugin and is running a version between 0.0.0 and 1.4, inclusive.
Upgrade the Anatoly Download Counter plugin to version 1.4.1 or later. Consider WAF rules to block path traversal attempts as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-60242, but it's crucial to apply the patch promptly.
Refer to the Anatoly Download Counter plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.