Meta Box <= 5.11.1 - Exclusão Arbitrária de Arquivos Autenticada (Colaborador+)
Plataforma
wordpress
Componente
meta-box
Corrigido em
5.11.2
O plugin Meta Box para WordPress apresenta uma vulnerabilidade de acesso arbitrário de arquivos. Esta falha, explorável por atacantes autenticados com acesso de Contributor ou superior, permite a exclusão de arquivos arbitrários no servidor. As versões afetadas são da 0.0.0 até a 5.11.1. A correção foi disponibilizada na versão 5.11.2.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A vulnerabilidade de acesso arbitrário de arquivos no Meta Box permite que um atacante autenticado, com privilégios mínimos de Contributor, exclua arquivos no servidor WordPress. A exclusão de arquivos críticos, como o wp-config.php, pode levar à execução remota de código (RCE). Um atacante poderia, por exemplo, excluir este arquivo, interrompendo o funcionamento do WordPress e potencialmente injetando código malicioso para obter controle total sobre o servidor. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial impacto na confidencialidade, integridade e disponibilidade do sistema.
Contexto de Exploração
A vulnerabilidade foi divulgada em 7 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de acesso autenticado (Contributor) simplifica a exploração, tornando-a potencialmente acessível a um amplo espectro de atacantes.
Quem Está em Riscotraduzindo…
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.89% (percentil 75%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Alto — conta de administrador ou privilegiada necessária.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Informações do pacote
- Instalações ativas
- 500KPopular
- Avaliação do plugin
- 4.8
- Requer WordPress
- 6.5+
- Compatível até
- 6.9.4
- Requer PHP
- 7.4+
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é a atualização imediata para a versão 5.11.2 do plugin Meta Box. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função ajaxdeletefile através de um firewall de aplicação web (WAF) ou regras de proxy, bloqueando requisições suspeitas. Além disso, revise as permissões de usuário no WordPress, garantindo que apenas usuários com privilégios elevados tenham acesso à funcionalidade de exclusão de arquivos. Monitore os logs do servidor em busca de tentativas de acesso ou exclusão de arquivos suspeitos.
Como corrigir
Atualize para a versão 5.11.2, ou uma versão corrigida mais recente
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2025-14675 — Arbitrary File Access in Meta Box?
CVE-2025-14675 is a vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution. It affects versions 0.0.0–5.11.1.
Am I affected by CVE-2025-14675 in Meta Box?
You are affected if your WordPress site uses the Meta Box plugin and is running version 0.0.0 through 5.11.1. Check your plugin versions immediately.
How do I fix CVE-2025-14675 in Meta Box?
Upgrade the Meta Box plugin to version 5.11.2 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
Is CVE-2025-14675 being actively exploited?
As of the publication date, there are no publicly known active exploits for CVE-2025-14675, but it's crucial to patch promptly to prevent future exploitation.
Where can I find the official Meta Box advisory for CVE-2025-14675?
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details regarding this vulnerability.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.