Plataforma
wordpress
Componente
hostmev2
Corregido en
7.0.1
Se ha identificado una vulnerabilidad de Path Traversal (acceso a archivos arbitrarios) en Hostme v2, un tema de WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. Afecta a las versiones de Hostme v2 desde 0.0.0 hasta la 7.0 inclusive. Se espera la publicación oficial de la corrección el 22 de enero de 2026.
La vulnerabilidad de Path Traversal en Hostme v2 permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto puede incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría, por ejemplo, leer el archivo wp-config.php, comprometiendo la base de datos de WordPress y obteniendo acceso completo al sitio web. La exposición de información confidencial podría llevar al robo de datos de usuarios, la modificación del contenido del sitio, o incluso la ejecución remota de código si el atacante logra subir un archivo malicioso.
La vulnerabilidad fue publicada el 22 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas al momento de la publicación. La severidad se clasifica como ALTA (CVSS 7.5), lo que indica una probabilidad moderada de explotación si no se toman medidas de mitigación.
Websites using the Hostme v2 WordPress theme, particularly those running older versions (0.0.0 - 7.0), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin configurations and file permissions.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/hostmev2/*• generic web:
curl -I 'http://example.com/wp-content/themes/hostmev2/../../../../etc/passwd' # Check for directory traversaldisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Hostme v2 a la versión corregida, una vez que esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio del tema para evitar la subida de archivos maliciosos. Implemente reglas en el servidor web (WAF o proxy) para bloquear solicitudes que contengan secuencias de caracteres de path traversal como ../. Revise los archivos de registro del servidor web en busca de patrones sospechosos, como solicitudes que intentan acceder a archivos fuera del directorio del tema. Considere deshabilitar temporalmente el tema Hostme v2 hasta que se publique la actualización.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68907 is a vulnerability in Hostme v2 allowing attackers to read files outside of intended directories via path manipulation. It's rated HIGH severity (CVSS 7.5) and affects versions 0.0.0 through 7.0.
If you are using Hostme v2 version 0.0.0 to 7.0 on your WordPress site, you are potentially affected. Check for updates from AivahThemes immediately.
Upgrade Hostme v2 to the latest patched version as soon as it's released by AivahThemes. Implement WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation of CVE-2025-68907, but it's crucial to apply mitigations proactively.
Check the AivahThemes website and WordPress plugin repository for updates and security advisories related to Hostme v2 and CVE-2025-68907.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.