Plataforma
wordpress
Componente
anona
Corregido en
8.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Anona para WordPress, desarrollado por AivahThemes. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. Afecta a las versiones de Anona desde 0.0.0 hasta la 8.0. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad de Path Traversal en Anona permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración sensibles, código fuente, o incluso archivos del sistema operativo. Un atacante podría obtener información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la completa toma de control del sitio web y los datos asociados. Esta vulnerabilidad es similar a otras explotaciones de Path Traversal que han permitido el acceso a bases de datos y credenciales de administración.
La vulnerabilidad CVE-2025-68902 fue publicada el 22 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en campañas conocidas. La probabilidad de explotación se considera media, dado que las vulnerabilidades de Path Traversal son relativamente fáciles de explotar y pueden ser automatizadas. Se recomienda monitorear los registros del servidor en busca de intentos de acceso a archivos no autorizados.
WordPress sites using the Anona plugin, particularly those with default configurations or shared hosting environments, are at increased risk. Sites that haven't implemented robust file access controls or regularly scan for vulnerabilities are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/anona/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/anona/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive --all | grep anonadisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-68902 es actualizar el plugin Anona a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio del plugin a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, se pueden configurar reglas de seguridad en el servidor para evitar el acceso a archivos fuera del directorio raíz del sitio web. Verifique que los permisos de los archivos y directorios del plugin sean restrictivos, limitando el acceso solo a los usuarios necesarios.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68902 is a HIGH severity vulnerability in the Anona WordPress plugin allowing attackers to read arbitrary files on the server through path traversal. It affects versions 0.0.0 through 8.0.
If you are using the Anona WordPress plugin in versions 0.0.0 through 8.0, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Anona plugin. Until a patch is released, consider temporary workarounds like WAF rules and restricting file access permissions.
As of the publication date, there is no confirmed active exploitation of CVE-2025-68902, but the vulnerability's nature suggests potential for exploitation.
Refer to the AivahThemes website and WordPress plugin repository for official advisories and updates related to CVE-2025-68902.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.