Plataforma
wordpress
Componente
movie-booking
Corregido en
1.1.6
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin Ovatheme Movie Booking para WordPress. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.1.5, y se recomienda actualizar a la versión 1.1.6 para solucionar el problema.
La vulnerabilidad de Path Traversal en Ovatheme Movie Booking permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto puede incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría extraer información confidencial, modificar archivos críticos para el funcionamiento del sitio web, o incluso ejecutar código malicioso en el servidor si tiene los permisos necesarios. La severidad de este tipo de vulnerabilidades es alta, ya que pueden llevar a una completa toma de control del sistema.
La vulnerabilidad CVE-2025-67963 fue publicada el 22 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La existencia de un PoC público podría facilitar la explotación de esta vulnerabilidad, por lo que se recomienda aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-bookingdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-67963 es actualizar el plugin Ovatheme Movie Booking a la versión 1.1.6 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles a través de reglas de firewall o WAF (Web Application Firewall). Además, es crucial revisar los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique la integridad del sitio web y los archivos para confirmar que la vulnerabilidad ha sido resuelta.
Actualizar a la versión 1.1.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67963 is a vulnerability in Ovatheme Movie Booking allowing attackers to read arbitrary files on the server. It has a HIGH severity rating (CVSS: 8.6) and affects versions 0.0.0 through 1.1.5.
You are affected if your WordPress site uses the Ovatheme Movie Booking plugin and is running version 0.0.0 through 1.1.5. Check your plugin versions immediately.
Upgrade the Ovatheme Movie Booking plugin to version 1.1.6 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
There is currently no confirmed active exploitation of CVE-2025-67963, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Ovatheme Movie Booking plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-67963.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.