Plataforma
wordpress
Componente
wp-webhooks
Corregido en
3.3.6
La vulnerabilidad CVE-2025-8895 afecta al plugin WP Webhooks para WordPress, permitiendo el acceso a archivos arbitrarios en el servidor. Esta falla se debe a la falta de validación adecuada de la entrada del usuario, lo que permite a atacantes no autenticados copiar archivos sensibles. Las versiones afectadas son desde la 0.0.0 hasta la 3.3.5. Se recomienda actualizar a la versión 3.3.6 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para copiar cualquier archivo del servidor web al que tenga acceso. El escenario más crítico es la copia del archivo wp-config.php, que contiene información de configuración de la base de datos, incluyendo nombres de usuario, contraseñas y el nombre de la base de datos. La exposición de esta información permitiría al atacante acceder y manipular la base de datos de WordPress, comprometiendo la integridad y confidencialidad de los datos. Además, la capacidad de copiar archivos arbitrariamente podría permitir la ejecución de código malicioso en el servidor, dependiendo de los permisos del usuario web y la configuración del entorno. Esta vulnerabilidad es similar en impacto a otras fallas de acceso a archivos que han permitido el robo de credenciales y la toma de control de sitios web.
La vulnerabilidad fue publicada el 2025-08-21. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es probable que esta vulnerabilidad sea objeto de escaneos automatizados y posibles ataques en el futuro cercano. Se recomienda monitorear los registros del servidor y el sitio web en busca de actividad sospechosa.
Websites using the WP Webhooks plugin, particularly those with default WordPress configurations and limited server access controls, are at significant risk. Shared hosting environments are especially vulnerable, as attackers may be able to exploit this vulnerability to access files on other users' websites.
• wordpress / composer / npm:
wp plugin list | grep wp-webhooks• wordpress / composer / npm:
wp plugin update wp-webhooks --version=3.3.6• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/wp-webhooks/ -type f -name '*.php' -exec grep -i 'copy(' {} +)• generic web: Check WordPress plugin directory for unauthorized file copies. Monitor web server access logs for unusual file access patterns targeting the WP Webhooks plugin directory.
disclosure
patch
kev
Estado del Exploit
EPSS
0.28% (51% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP Webhooks a la versión 3.3.6 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos sensibles o que contengan patrones sospechosos en la URL. También es recomendable revisar los permisos de los archivos y directorios del sitio web para asegurar que solo el usuario web tenga acceso a los archivos necesarios. Después de la actualización, verifique que el plugin WP Webhooks funcione correctamente y que no haya errores en el registro de errores de WordPress.
Actualice el plugin WP Webhooks a la versión 3.3.6 o superior para mitigar la vulnerabilidad de copia de archivos arbitrarios. Esta actualización corrige la falta de validación de la entrada del usuario que permite a atacantes no autenticados copiar archivos del servidor. Asegúrese de realizar una copia de seguridad de su sitio antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8895 es una vulnerabilidad de acceso a archivos arbitrarios en el plugin WP Webhooks para WordPress, permitiendo a atacantes copiar archivos sensibles del servidor.
Si está utilizando WP Webhooks en versiones anteriores a la 3.3.6, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su sitio web.
Actualice el plugin WP Webhooks a la versión 3.3.6 o superior para solucionar la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un riesgo significativo y es probable que sea objeto de ataques.
Consulte el sitio web oficial de WP Webhooks o el repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y la actualización disponible.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.