Plataforma
wordpress
Componente
wplms_plugin
Corregido en
1.9.10
La vulnerabilidad CVE-2025-69097 es una falla de Path Traversal descubierta en el plugin WPLMS de VibeThemes. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones de WPLMS desde la 0.0.0 hasta la 1.9.9.5.4. Se recomienda actualizar a la versión corregida lo antes posible.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, incluyendo archivos de configuración, código fuente, contraseñas y datos de usuarios. Esto podría resultar en la divulgación de información confidencial, la toma de control del sitio web o incluso el acceso al sistema subyacente. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la seguridad de la aplicación. La posibilidad de acceder a archivos de configuración podría permitir la modificación de la configuración del servidor, ampliando el alcance del ataque.
La vulnerabilidad CVE-2025-69097 fue publicada el 22 de enero de 2026. No se han reportado campañas de explotación activas a la fecha. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wplms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-69097 es actualizar el plugin WPLMS a la versión corregida proporcionada por el proveedor. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a directorios sensibles a través de reglas de firewall o WAF (Web Application Firewall). Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso a archivos fuera del directorio raíz de la aplicación. Tras la actualización, verifique que la vulnerabilidad ha sido resuelta intentando acceder a un archivo sensible a través de una ruta de acceso manipulada.
No se conoce ningún parche disponible. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones en función de la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69097 is a HIGH severity vulnerability in WPLMS allowing attackers to read arbitrary files on the server. It affects versions 0.0.0 through 1.9.9.5.4.
Yes, if you are using WPLMS version 0.0.0 through 1.9.9.5.4, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade WPLMS to a patched version. Until a patch is available, implement temporary workarounds like restricting file access and using a WAF.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it's crucial to apply the patch promptly.
Refer to the VibeThemes website and WordPress plugin repository for official advisories and updates regarding CVE-2025-69097.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.