Plataforma
wordpress
Componente
anona
Corregido en
8.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Anona para WordPress, desarrollada por AivahThemes. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones de Anona desde 0.0.0 hasta la 8.0. Se recomienda actualizar el plugin a la versión corregida lo antes posible.
La vulnerabilidad de Path Traversal en Anona permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración sensibles, código fuente, o incluso archivos del sistema operativo. Un atacante podría, por ejemplo, leer el archivo /etc/passwd en un servidor Linux, obteniendo información sobre los usuarios del sistema. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial, la modificación de archivos del sistema, o incluso la ejecución remota de código, dependiendo de los permisos del usuario web y los archivos accesibles. Esta vulnerabilidad es similar a otras vulnerabilidades de Path Traversal que han afectado a diversos plugins de WordPress en el pasado, demostrando la importancia de validar correctamente las entradas del usuario.
La vulnerabilidad CVE-2025-68901 fue publicada el 22 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera media, dado que la vulnerabilidad es relativamente fácil de explotar y el plugin Anona es utilizado por un número significativo de sitios web WordPress. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Websites using the Anona WordPress plugin, particularly those running older versions (0.0.0 - 8.0), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and file permissions. Administrators who haven't implemented robust security practices or regularly monitor their WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Anona a la última versión disponible, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Estas medidas incluyen restringir el acceso al directorio del plugin a través de un servidor web (por ejemplo, configurando reglas en un servidor Apache o Nginx para bloquear el acceso a archivos fuera del directorio del plugin). También se recomienda implementar un firewall de aplicaciones web (WAF) que pueda detectar y bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Finalmente, se debe revisar y reforzar la configuración de permisos del servidor web para limitar el acceso a archivos sensibles.
No se conoce ningún parche disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones en función de la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68901 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read files outside the intended web root through path traversal.
If you are using Anona WordPress plugin versions 0.0.0 through 8.0, you are potentially affected by this vulnerability.
Upgrade to a patched version of the Anona plugin as soon as it becomes available. Until then, implement WAF rules and restrict file permissions.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-68901.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-68901.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.