Plataforma
wordpress
Componente
energox
Corregido en
1.2.1
Se ha identificado una vulnerabilidad de Path Traversal en Energox, un plugin de WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones de Energox desde 0.0.0 hasta la 1.2, y se recomienda actualizar a la versión 1.3 para solucionar el problema.
La vulnerabilidad de Path Traversal en Energox permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración sensibles, código fuente, o incluso archivos del sistema operativo. Un atacante podría leer información confidencial, modificar archivos críticos, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la exposición de datos sensibles, la toma de control del sitio web, o la propagación de malware.
Esta vulnerabilidad ha sido publicada el 2026-03-25. No se han reportado campañas de explotación activas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Websites utilizing the Energox WordPress plugin in versions 0.0.0 through 1.2 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. Administrators who have not regularly updated their WordPress plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/energox/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/energox/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Energox a la versión 1.3, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Configure un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas, como '..' o '/'. Revise y endurezca los permisos de los archivos y directorios en el servidor para limitar el acceso no autorizado. Monitoree los registros del servidor en busca de patrones de acceso inusuales.
Actualizar a la versión 1.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24970 is a vulnerability in the Energox WordPress plugin allowing attackers to read files outside of the intended directory through path manipulation. It has a CVSS score of 7.7 (HIGH).
Yes, if you are using Energox versions 0.0.0 through 1.2, you are affected by this vulnerability. Upgrade to version 1.3 or later to mitigate the risk.
The recommended fix is to upgrade the Energox plugin to version 1.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of now, there are no publicly known active exploitation campaigns targeting CVE-2026-24970, but the vulnerability's severity warrants immediate attention.
Refer to the Energox plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.